|
Plagegeister aller Art und deren Bekämpfung: Automatische Weiterleitung beim GoogelnWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.10.2010, 17:36 | #1 |
| Automatische Weiterleitung beim Googeln Meine Mum hat seit einiger Zeit Probleme mit Ihrem Netbook, denen ich mich nun mal annehmen muss. Wenn man googelt und dann einen Link anklickt wird man auf andere "Suchseiten" weitergeleitet (z.b. k-directory). Außerdem öffnet sich ab und zu ein Browser-Fenster, dass so aussehen soll wie ihr Arbeitsplatz und dann die Anzahl ihrer Viren aufzählt. Antivir und ein paar andere Virenprogramme die ich schon ausprobiert habe finden nichts. Malwarebytes lässt sich nicht öffnen und bei Spybot habe ich schon während der Installation Probleme. Vielen Dank falls jemand helfen kann! Viele Grüße Steffi |
10.10.2010, 17:52 | #2 |
/// Malware-holic | Automatische Weiterleitung beim Googeln bitte teste keine weiteren programme auf eigene faust mehr :-)
__________________ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide benötige ich. |
10.10.2010, 17:52 | #3 |
/// Malware-holic | Automatische Weiterleitung beim Googeln bitte teste keine weiteren programme auf eigene faust mehr :-)
__________________ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide benötige ich, also hier reinkopieren :-) |
10.10.2010, 18:16 | #4 |
| Automatische Weiterleitung beim Googeln Okay. OTL.txt: Code:
ATTFilter OTL logfile created on: 10.10.2010 18:58:45 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\inge\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.015,00 Mb Total Physical Memory | 598,00 Mb Available Physical Memory | 59,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free Paging file location(s): C:\pagefile.sys 1522 1522 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 80,02 Gb Total Space | 66,87 Gb Free Space | 83,57% Space Free | Partition Type: NTFS Drive D: | 69,00 Gb Total Space | 68,83 Gb Free Space | 99,75% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: CUXHAVENMAI Current User Name: inge Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\inge\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\inge\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msvbvm60.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\dinput.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) ========== Driver Services (SafeList) ========== DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (Ktp) -- C:\WINDOWS\system32\drivers\ETD.sys (ELANTECH Devices Corp.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (L1e) -- C:\WINDOWS\system32\drivers\l1e51x86.sys (Atheros Communications, Inc.) DRV - (AsusACPI) -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS (ASUSTeK Computer Inc.) DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.) DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-420635223-28012700-3411718573-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.web.de IE - HKU\S-1-5-21-420635223-28012700-3411718573-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "WEB.DE Suche" FF - prefs.js..browser.search.order.1: "GMX Suche" FF - prefs.js..browser.search.order.2: "1und1 Suche" FF - prefs.js..browser.search.order.3: "amazon.de" FF - prefs.js..browser.search.order.4: "WEB.DE Suche" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://web.de" FF - prefs.js..extensions.enabledItems: {95f24680-9e31-11da-a746-0800200c9a66}:0.1.5.5 FF - prefs.js..keyword.URL: "hxxp://wa.ui-portal.de/webde/webde/s?produkte.browser.link.searchlink&s_brand=webde&t_link=searchlink&ns_type=clickin&ns_url=hxxp://suche.web.de/search/web/?origin=searchplugin&su=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.18 20:47:20 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.18 20:47:20 | 000,000,000 | ---D | M] [2009.06.12 19:41:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla\Extensions [2010.10.09 18:08:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla\Firefox\Profiles\o5zbm7qg.default\extensions [2010.02.22 20:35:36 | 000,005,591 | ---- | M] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla\Firefox\Profiles\o5zbm7qg.default\searchplugins\1und1-suche.xml [2010.02.22 20:35:34 | 000,001,371 | ---- | M] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla\Firefox\Profiles\o5zbm7qg.default\searchplugins\amazonde.xml [2010.02.22 20:35:35 | 000,010,605 | ---- | M] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla\Firefox\Profiles\o5zbm7qg.default\searchplugins\gmx-suche.xml [2010.02.22 20:35:35 | 000,005,588 | ---- | M] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla\Firefox\Profiles\o5zbm7qg.default\searchplugins\webde-suche.xml [2010.10.09 18:45:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.02.22 20:31:03 | 000,000,000 | ---D | M] (Update Notifier) -- C:\Programme\Mozilla Firefox\extensions\{95f24680-9e31-11da-a746-0800200c9a66} [2010.02.22 20:31:03 | 000,000,000 | ---D | M] (WEB.DE Firefox Addon) -- C:\Programme\Mozilla Firefox\extensions\{a82d0125-000a-4a57-abbc-5d4b0dbaab54} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2009.11.08 11:25:12 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.11.08 11:25:12 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.11.08 11:25:12 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.11.08 11:25:12 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.11.08 11:25:12 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.) O3 - HKU\S-1-5-21-420635223-28012700-3411718573-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk = C:\Programme\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-420635223-28012700-3411718573-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_21.dll (Sun Microsystems, Inc.) O9 - Extra Button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\inge\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\inge\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.08.08 09:20:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: Wmi - C:\WINDOWS\System32\wmi.dll (Microsoft Corporation) NetSvcs: WmdmPmSp - File not found MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Alcmtr - hkey= - key= - C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) MsConfig - StartUpReg: AlcWzrd - hkey= - key= - C:\WINDOWS\alcwzrd.exe (RealTek Semicoductor Corp.) MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\Programme\HP\HP Software Update\hpwuSchd2.exe (Hewlett-Packard) MsConfig - StartUpReg: MSMSGS - hkey= - key= - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation) MsConfig - StartUpReg: MsnMsgr - hkey= - key= - C:\Programme\Windows Live\Messenger\MsnMsgr.Exe File not found MsConfig - StartUpReg: SoundMan - hkey= - key= - C:\WINDOWS\SoundMan.exe (Realtek Semiconductor Corp.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 SafeBootMin: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Reg Error: Value error. ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (77700704323502080) ========== Files/Folders - Created Within 30 Days ========== [2011.08.08 14:48:55 | 003,426,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_32.dll [2011.08.08 14:48:25 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live Toolbar [2011.08.08 14:46:33 | 000,000,000 | -HSD | C] -- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller [2011.08.08 14:46:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller [2011.08.08 14:46:03 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Office [2011.08.08 14:45:27 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Works [2011.08.08 14:44:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe [2011.08.08 14:44:47 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe [2011.08.08 14:44:01 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft SQL Server Compact Edition [2011.08.08 14:43:49 | 000,044,768 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wups2.dll [2011.08.08 14:43:48 | 000,023,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wucltui.dll.mui [2011.08.08 14:43:48 | 000,018,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuaueng.dll.mui [2011.08.08 14:43:48 | 000,015,584 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuaucpl.cpl.mui [2011.08.08 14:43:48 | 000,015,584 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll.mui [2011.08.08 14:43:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution [2011.08.08 14:39:20 | 000,000,000 | R-SD | C] -- C:\WINDOWS\assembly [2011.08.08 14:39:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\Microsoft.NET [2011.08.08 14:39:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\URTTemp [2011.08.08 14:37:52 | 000,000,000 | ---D | C] -- C:\Programme\Asus [2011.08.08 14:36:52 | 000,011,264 | ---- | C] (ASUSTeK Computer Inc.) -- C:\WINDOWS\System32\drivers\ASUSACPI.SYS [2011.08.08 14:36:51 | 000,000,000 | ---D | C] -- C:\Programme\EeePC [2011.08.08 14:36:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Atheros_L1e [2011.08.08 14:36:06 | 000,172,032 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrita.lrc [2011.08.08 14:36:06 | 000,159,744 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrsve.lrc [2011.08.08 14:36:06 | 000,159,744 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrdan.lrc [2011.08.08 14:36:06 | 000,155,648 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrtrk.lrc [2011.08.08 14:36:06 | 000,139,264 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrheb.lrc [2011.08.08 14:36:06 | 000,114,688 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrkor.lrc [2011.08.08 14:36:06 | 000,114,688 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrjpn.lrc [2011.08.08 14:36:06 | 000,053,248 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igxprd32.dll [2011.08.08 14:36:06 | 000,023,552 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxexps.dll [2011.08.08 14:36:05 | 001,181,824 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\drivers\igxpmp32.sys [2011.08.08 14:36:05 | 000,167,936 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrfra.lrc [2011.08.08 14:36:05 | 000,159,744 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrcsy.lrc [2011.08.08 14:36:05 | 000,147,456 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrtha.lrc [2011.08.08 14:36:05 | 000,143,360 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrara.lrc [2011.08.08 14:36:05 | 000,129,560 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxext.exe [2011.08.08 14:36:05 | 000,044,032 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxsrvc.dll [2011.08.08 14:36:04 | 003,276,800 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxress.dll [2011.08.08 14:36:04 | 002,363,392 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\iglicd32.dll [2011.08.08 14:36:04 | 002,262,528 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igxpdx32.dll [2011.08.08 14:36:04 | 001,442,848 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igxpdv32.dll [2011.08.08 14:36:04 | 000,457,240 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxcfg.exe [2011.08.08 14:36:04 | 000,454,656 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igldev32.dll [2011.08.08 14:36:04 | 000,312,320 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\difx32.dll [2011.08.08 14:36:04 | 000,176,128 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrell.lrc [2011.08.08 14:36:04 | 000,176,128 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrdeu.lrc [2011.08.08 14:36:04 | 000,172,032 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrnld.lrc [2011.08.08 14:36:04 | 000,172,032 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxresp.lrc [2011.08.08 14:36:04 | 000,167,936 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrhun.lrc [2011.08.08 14:36:04 | 000,163,840 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrrus.lrc [2011.08.08 14:36:04 | 000,163,840 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrptg.lrc [2011.08.08 14:36:04 | 000,163,840 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrptb.lrc [2011.08.08 14:36:04 | 000,163,840 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrplk.lrc [2011.08.08 14:36:04 | 000,163,840 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxpph.dll [2011.08.08 14:36:04 | 000,159,744 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrnor.lrc [2011.08.08 14:36:04 | 000,159,744 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrfin.lrc [2011.08.08 14:36:04 | 000,155,648 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrenu.lrc [2011.08.08 14:36:04 | 000,155,648 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxdev.dll [2011.08.08 14:36:04 | 000,146,432 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igxpgd32.dll [2011.08.08 14:36:04 | 000,113,176 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxzoom.exe [2011.08.08 14:36:04 | 000,098,304 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrcht.lrc [2011.08.08 14:36:04 | 000,098,304 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxrchs.lrc [2011.08.08 14:36:04 | 000,098,304 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxdo.dll [2011.08.08 14:36:04 | 000,094,208 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\igfxcpl.cpl [2011.08.08 14:36:04 | 000,081,920 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\hccutils.dll [2011.08.08 14:36:04 | 000,057,344 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\oemdspif.dll [2011.08.08 14:36:03 | 000,371,224 | ---- | C] (Intel(R) Corporation) -- C:\WINDOWS\System32\igxpun.exe [2011.08.08 14:36:03 | 000,312,320 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\difxapi.dll [2011.08.08 14:36:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Lang [2011.08.08 14:35:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ReinstallBackups [2011.08.08 14:35:07 | 000,000,000 | ---D | C] -- C:\Programme\Intel [2011.08.08 14:35:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE [2011.08.08 14:35:00 | 000,000,000 | ---D | C] -- C:\Intel [2011.08.08 14:34:55 | 000,006,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\splitter.sys [2011.08.08 14:34:53 | 000,083,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wdmaud.sys [2011.08.08 14:34:50 | 000,052,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dmusic.sys [2011.08.08 14:34:47 | 000,056,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\swmidi.sys [2011.08.08 14:34:45 | 000,142,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aec.sys [2011.08.08 14:34:43 | 000,172,416 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\kmixer.sys [2011.08.08 14:34:41 | 000,002,944 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\drmkaud.sys [2011.08.08 14:34:39 | 000,060,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\sysaudio.sys [2011.08.08 14:34:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\RTCOM [2011.08.08 14:34:30 | 000,146,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\portcls.sys [2011.08.08 14:34:30 | 000,146,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\portcls.sys [2011.08.08 14:34:30 | 000,060,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\drmk.sys [2011.08.08 14:34:30 | 000,060,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\drmk.sys [2011.08.08 14:34:25 | 001,826,816 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SkyTel.exe [2011.08.08 14:34:25 | 001,196,032 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RtlUpd.exe [2011.08.08 14:34:25 | 000,266,240 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\RTSndMgr.cpl [2011.08.08 14:34:25 | 000,077,824 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SoundMan.exe [2011.08.08 14:34:24 | 009,715,200 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RTLCPL.exe [2011.08.08 14:34:24 | 004,747,776 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\drivers\RtkHDAud.sys [2011.08.08 14:34:23 | 002,165,760 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\MicCal.exe [2011.08.08 14:34:22 | 000,278,528 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\ALSndMgr.cpl [2011.08.08 14:34:21 | 002,808,832 | ---- | C] (RealTek Semicoductor Corp.) -- C:\WINDOWS\alcwzrd.exe [2011.08.08 14:34:21 | 000,057,344 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\Alcmtr.exe [2011.08.08 14:34:21 | 000,000,000 | -H-D | C] -- C:\Programme\InstallShield Installation Information [2011.08.08 14:34:21 | 000,000,000 | ---D | C] -- C:\Programme\Realtek [2011.08.08 14:34:18 | 000,520,192 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RtlExUpd.dll [2011.08.08 14:34:18 | 000,315,392 | ---- | C] (Realtek Semiconductor Corp.) -- C:\WINDOWS\HideWin.exe [2011.08.08 14:34:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\InstallShield [2011.08.08 14:01:37 | 000,000,000 | -H-D | C] -- C:\Programme\Uninstall Information [2011.08.08 14:00:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\SoftwareDistribution [2011.08.08 14:00:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch [2011.08.08 14:00:36 | 000,000,000 | --SD | C] -- C:\WINDOWS\System32\Microsoft [2011.08.08 14:00:35 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft [2011.08.08 14:00:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2011.08.08 14:00:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2011.08.08 14:00:33 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft [2010.10.09 20:16:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.10.09 20:16:02 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.10.09 20:16:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.10.09 20:16:01 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.10.09 18:58:45 | 000,000,000 | ---D | C] -- C:\Programme\Alwil Software [2010.10.09 18:58:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2010.10.09 18:08:11 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\inge\Recent [2010.09.12 11:35:45 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.09.12 11:35:45 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.09.12 11:35:45 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.09.12 11:35:45 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.09.12 08:57:41 | 000,026,624 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\stu2.exe [2008.08.08 14:11:34 | 015,523,560 | ---- | C] (Macrovision Corporation) -- C:\Programme\U1 Setup.exe [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.08.08 14:38:42 | 000,000,692 | ---- | M] () -- C:\WINDOWS\setup.iss [2011.08.08 14:37:52 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk [2011.08.08 14:34:18 | 000,315,392 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\HideWin.exe [2010.10.10 18:05:01 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.10.10 18:04:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.10.09 20:36:57 | 002,883,584 | -H-- | M] () -- C:\Dokumente und Einstellungen\inge\NTUSER.DAT [2010.10.09 20:36:57 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\inge\ntuser.ini [2010.10.09 19:44:08 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT [2010.10.09 17:49:40 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.08.08 14:38:44 | 000,049,152 | ---- | C] () -- C:\WINDOWS\INSTALLEEE.EXE [2011.08.08 14:38:44 | 000,001,162 | ---- | C] () -- C:\WINDOWS\sr.VBS [2011.08.08 14:38:44 | 000,000,256 | ---- | C] () -- C:\WINDOWS\RUN.REG [2011.08.08 14:38:44 | 000,000,124 | ---- | C] () -- C:\WINDOWS\HW.VBS [2011.08.08 14:38:44 | 000,000,037 | ---- | C] () -- C:\WINDOWS\AUTO.BAT [2011.08.08 14:38:42 | 000,000,692 | ---- | C] () -- C:\WINDOWS\setup.iss [2011.08.08 14:37:52 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk [2011.08.08 14:36:52 | 000,001,203 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsusACPI.inf [2011.08.08 14:36:06 | 000,000,929 | ---- | C] () -- C:\WINDOWS\System32\igxpxa32.vp [2011.08.08 14:36:05 | 000,655,842 | ---- | C] () -- C:\WINDOWS\System32\igxpxa32.cpa [2011.08.08 14:36:04 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4704.dll [2011.08.08 14:36:04 | 000,023,632 | ---- | C] () -- C:\WINDOWS\System32\igxpxs32.vp [2011.08.08 14:36:04 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\igxpxk32.vp [2011.08.08 14:36:03 | 000,121,232 | ---- | C] () -- C:\WINDOWS\System32\IScrNBR.bmp [2011.08.08 14:36:03 | 000,121,232 | ---- | C] () -- C:\WINDOWS\System32\IScrNB.bmp [2011.08.08 14:34:59 | 000,000,553 | ---- | C] () -- C:\WINDOWS\USetup.iss [2011.08.08 14:34:57 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2011.08.08 14:34:26 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\SamSfPa.dat [2009.12.06 12:19:33 | 000,001,160 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log [2009.11.12 17:26:51 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\curlchk.exe [2009.08.17 12:16:52 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat [2009.08.10 21:52:06 | 000,010,240 | ---- | C] () -- C:\Dokumente und Einstellungen\inge\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.05.09 23:11:10 | 000,000,328 | ---- | C] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\wklnhst.dat [2009.05.09 21:33:47 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\inge\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008.08.08 14:47:58 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2008.08.08 09:03:15 | 000,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2008.03.17 15:54:36 | 000,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini ========== LOP Check ========== [2010.10.09 18:58:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2010.03.27 18:12:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ECAP [2010.02.22 20:28:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1 [2009.05.13 19:32:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\InterVideo [2010.10.09 18:11:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\StarOffice8 [2009.05.09 23:11:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Template [2009.05.15 19:02:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Windows Live Writer ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2009.06.05 19:31:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Adobe [2009.12.06 12:28:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\HP [2010.09.25 18:17:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\HPAppData [2009.12.22 20:06:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\HpUpdate [2011.08.08 14:01:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Identities [2011.08.08 14:37:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\InstallShield [2009.05.13 19:32:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\InterVideo [2009.05.15 17:46:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Macromedia [2010.07.18 17:23:45 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Microsoft [2009.06.12 19:41:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Mozilla [2010.04.04 13:38:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Skype [2010.04.04 12:38:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\skypePM [2010.10.09 18:11:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\StarOffice8 [2008.08.08 14:19:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Sun [2009.05.09 23:11:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Template [2009.05.15 19:02:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Windows Live Writer < %APPDATA%\*.exe /s > [2009.05.20 13:03:46 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\curlchk.exe [2009.06.05 19:31:51 | 001,915,520 | ---- | M] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp3.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp3.cab:atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll [2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll < MD5 for: EXPLORER.EXE > [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: NETLOGON.DLL > [2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll [2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll [2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll [2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2008.08.08 11:10:42 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2008.08.08 11:10:42 | 001,069,056 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2008.08.08 11:10:42 | 000,446,464 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [5 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > Code:
ATTFilter OTL Extras logfile created on: 10.10.2010 18:58:45 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\inge\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.015,00 Mb Total Physical Memory | 598,00 Mb Available Physical Memory | 59,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free Paging file location(s): C:\pagefile.sys 1522 1522 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 80,02 Gb Total Space | 66,87 Gb Free Space | 83,57% Space Free | Partition Type: NTFS Drive D: | 69,00 Gb Total Space | 68,83 Gb Free Space | 99,75% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: CUXHAVENMAI Current User Name: inge Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_USERS\S-1-5-21-420635223-28012700-3411718573-1006\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 1 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- File not found "C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone) -- File not found [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- File not found "C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone) -- File not found "C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0990B5DF-92C3-4AD6-A18D-BF3ADF311240}" = Super Hybrid Engine "{0CE5F45E-F6CC-4638-B0DD-BB7F6EF56713}" = HP Deskjet D1500 Printer Driver Software 10.0 Rel .3 "{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox "{18669FF9-C8FE-407a-9F70-E674896B1DB4}" = GPBaseService "{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 21 "{305468A6-DE2D-43ba-A168-2F45A97A89DA}" = DJ_SF_03_D1500_Software_Min "{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver "{34BFB099-07B2-4E95-A673-7362D60866A2}" = PSSWCORE "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3700194C-C5DD-439A-BE06-A66960CA4C70}" = MSVCSetup "{38436888-9EAA-4cec-A56F-65B73D9D423C}" = D1500 "{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter "{5109C064-813E-4e87-B0DE-C8AF7B5BC02B}" = SmartWebPrintingOC "{52A69E11-7CEB-4a7d-9607-68BA4F39A89B}" = DeviceDiscovery "{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC "{5ACE69F0-A3E8-44eb-88C1-0A841E700180}" = TrayApp "{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2 "{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder "{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm "{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{6E4DAE31-7CF3-441A-B6E5-B014D63C80CD}" = Eee Instant Key "{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder "{818ABC3C-635C-4651-8183-D0E9640B7DD1}" = HP Update "{82C113AD-486F-4bd5-A2EA-2383AF57D084}" = D1500_Help "{82F2B38B-1426-443D-874C-AC25675E7BEB}" = Windows Live Mail "{8A85DEAD-7C1F-4368-881C-72AC74CB2E91}" = UnloadSupport "{8B8240B3-891D-4965-AA51-8799622D44FF}" = DJ_SF_03_D1500_ProductContext "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{9510AB97-A36C-4352-8725-E72E5528FA1B}" = StarOffice 8 ASUS Edition "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A0B9F8DF-C949-45ed-9808-7DC5C0C19C81}" = Status "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder "{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch "{B1421599-A42D-47ef-B512-B9B0317BD599}" = DJ_SF_03_D1500_Software "{BAD0FA60-09CF-4411-AE6A-C2844C8812FA}" = HP Photosmart Essential 2.5 "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1 "{D2E0F0CC-6BE0-490b-B08B-9267083E34C9}" = MarketResearch "{DEB6ACEB-C418-4880-9133-1C5EB9AFBC79}" = Eee Storage "{E08DC77E-D09A-4e36-8067-D6DBBCC5F8DC}" = VideoToolkit01 "{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU] "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "HDMI" = Intel(R) Graphics Media Accelerator Driver "HP Imaging Device Functions" = HP Imaging Device Functions 10.0 "HP Photosmart Essential" = HP Photosmart Essential 2.5 "HP Smart Web Printing" = HP Smart Web Printing "HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0 "HPExtendedCapabilities" = HP Customer Participation Program 10.0 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 16.12.2009 13:35:00 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1024) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 17.12.2009 13:25:15 | Computer Name = CUXHAVENMAI | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpqtra08.exe, Version 100.0.170.0, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00011689. Error - 19.12.2009 12:26:22 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1024) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 20.12.2009 16:58:50 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1016) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 22.12.2009 14:08:33 | Computer Name = CUXHAVENMAI | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hpwucli.exe, Version 5.0.8.1, fehlgeschlagenes Modul hpwucli.exe, Version 5.0.8.1, Fehleradresse 0x000045ea. Error - 23.12.2009 16:59:48 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1020) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 26.12.2009 15:57:15 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1024) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 27.12.2009 07:28:51 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1024) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 31.12.2009 08:11:10 | Computer Name = CUXHAVENMAI | Source = ESENT | ID = 490 Description = svchost (1024) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. [ System Events ] Error - 09.10.2010 13:46:56 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 09.10.2010 13:46:56 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 09.10.2010 13:46:56 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 09.10.2010 13:46:56 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 09.10.2010 13:46:56 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 09.10.2010 13:46:57 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 09.10.2010 13:46:57 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 10.10.2010 12:05:19 | Computer Name = CUXHAVENMAI | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 10.10.2010 12:05:19 | Computer Name = CUXHAVENMAI | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 10.10.2010 12:07:11 | Computer Name = CUXHAVENMAI | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. < End of report > |
10.10.2010, 18:25 | #5 |
/// Malware-holic | Automatische Weiterleitung beim Googeln • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found O3 - HKU\S-1-5-21-420635223-28012700-3411718573-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe File not found [2011.08.08 14:38:44 | 000,049,152 | ---- | C] () -- C:\WINDOWS\INSTALLEEE.EXE [2011.08.08 14:38:44 | 000,001,162 | ---- | C] () -- C:\WINDOWS\sr.VBS [2011.08.08 14:38:44 | 000,000,256 | ---- | C] () -- C:\WINDOWS\RUN.REG [2011.08.08 14:38:44 | 000,000,124 | ---- | C] () -- C:\WINDOWS\HW.VBS [2011.08.08 14:38:44 | 000,000,037 | ---- | C] () -- C:\WINDOWS\AUTO.BAT [2009.11.12 17:26:51 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\inge\Anwendungsdaten\curlchk.exe :FILES :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne den arbeitsplatz, dort c: dann _OTL markieren, rechtsklick, zu _OTL.rar oder zip hinzufügen, archiv zu uns hochladen http://www.trojaner-board.de/54791-a...ner-board.html |
10.10.2010, 18:42 | #6 |
| Automatische Weiterleitung beim Googeln Okay, hier das neue Dokument: Code:
ATTFilter All processes killed ========== OTL ========== Service HidServ stopped successfully! Service HidServ deleted successfully! File C:\WINDOWS\System32\hidserv.dll File not found not found. Service AppMgmt stopped successfully! Service AppMgmt deleted successfully! File C:\WINDOWS\System32\appmgmts.dll File not found not found. Registry value HKEY_USERS\S-1-5-21-420635223-28012700-3411718573-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully. C:\WINDOWS\INSTALLEEE.EXE moved successfully. C:\WINDOWS\sr.VBS moved successfully. C:\WINDOWS\RUN.REG moved successfully. C:\WINDOWS\HW.VBS moved successfully. C:\WINDOWS\AUTO.BAT moved successfully. C:\Dokumente und Einstellungen\inge\Anwendungsdaten\curlchk.exe moved successfully. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: inge ->Flash cache emptied: 1918636 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 2,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: inge ->Temp folder emptied: 7296888 bytes ->Temporary Internet Files folder emptied: 1909035 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 144253932 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 3771271 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 97037 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 150,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 10102010_193328 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
10.10.2010, 18:49 | #7 |
/// Malware-holic | Automatische Weiterleitung beim Googeln bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
10.10.2010, 19:39 | #8 |
| Automatische Weiterleitung beim Googeln So... Ich habe Antivir wie in der Anleitung stand vor dem Durchlauf deaktiviert. Das Programm musste dann zwischendurch aber das System neu starten und nach dem Neustart hat Antivir ein trojanisches Pferd gemeldet - Ich hab das in Quarantäne verschoben, war das i.O.? Hier das Dokument: Code:
ATTFilter ComboFix 10-10-09.06 - inge 10.10.2010 20:26:17.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.660 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\inge\Eigene Dateien\Downloads\ComboFi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\programme\CSec c:\programme\CSec\cs.exe.tmp1 c:\windows\system32\Thumbs.db ----- BITS: Eventuell infizierte Webseiten ----- hxxp://pvpv.ws Infizierte Kopie von c:\windows\system32\drivers\ipsec.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-09-10 bis 2010-10-10 )))))))))))))))))))))))))))))) . 2011-08-08 12:48 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll 2011-08-08 12:48 . 2009-05-15 17:04 -------- d-----w- c:\programme\Windows Live Toolbar 2011-08-08 12:46 . 2011-08-08 12:48 -------- dcsh--w- c:\programme\Gemeinsame Dateien\WindowsLiveInstaller 2011-08-08 12:46 . 2011-08-08 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller 2011-08-08 12:45 . 2010-08-12 18:47 -------- d-----w- c:\programme\Microsoft Works 2011-08-08 12:44 . 2011-08-08 12:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2011-08-08 12:44 . 2011-08-08 12:44 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition 2011-08-08 12:43 . 2009-08-06 17:24 44768 ----a-w- c:\windows\system32\wups2.dll 2011-08-08 12:43 . 2009-08-06 17:24 18144 ----a-w- c:\windows\system32\wuaueng.dll.mui 2011-08-08 12:43 . 2009-08-06 17:24 15584 ----a-w- c:\windows\system32\wuapi.dll.mui 2011-08-08 12:43 . 2009-08-06 17:24 15584 ----a-w- c:\windows\system32\wuaucpl.cpl.mui 2011-08-08 12:43 . 2009-08-06 17:24 23264 ----a-w- c:\windows\system32\wucltui.dll.mui 2011-08-08 12:39 . 2011-08-08 12:39 -------- d-----w- c:\windows\system32\URTTemp 2011-08-08 12:37 . 2011-08-08 12:38 -------- d-----w- c:\programme\Asus 2011-08-08 12:35 . 2011-08-08 12:35 -------- d-----w- c:\programme\Intel 2011-08-08 12:35 . 2009-12-06 10:22 -------- dc----w- c:\windows\system32\DRVSTORE 2011-08-08 12:35 . 2011-08-08 12:35 -------- d-----w- C:\Intel 2011-08-08 12:01 . 2001-08-18 02:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys 2011-08-08 12:00 . 2008-04-13 22:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys 2011-08-08 12:00 . 2011-08-08 12:00 -------- d-s---w- c:\windows\system32\Microsoft 2011-08-08 12:00 . 2011-08-08 12:00 -------- d-sh--w- c:\dokumente und einstellungen\LocalService 2011-08-08 12:00 . 2011-08-08 12:00 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService 2010-10-10 17:33 . 2010-10-10 17:33 -------- d-----w- C:\_OTL 2010-10-09 18:16 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-10-09 18:16 . 2010-10-09 18:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-10-09 18:16 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-09 18:16 . 2010-10-09 18:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-10-09 16:58 . 2010-10-09 16:58 -------- d-----w- c:\programme\Alwil Software 2010-10-09 16:58 . 2010-10-09 16:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software 2010-09-12 09:35 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-09-12 09:35 . 2010-07-17 03:00 423656 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll 2010-09-12 06:57 . 2008-04-14 12:00 26624 ----a-w- c:\windows\system32\stu2.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 100888] "AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304] "AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232] "AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "RTHDCPL"="RTHDCPL.EXE" [2008-07-16 16806400] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ SuperHybridEngine.lnk - c:\programme\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2011-8-8 303104] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-10-14 23:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 2008-06-19 08:20 57344 ----a-w- c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd] 2008-06-19 08:42 2808832 ----a-w- c:\windows\alcwzrd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2007-10-14 20:17 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2008-04-14 05:52 1695232 ------w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] 2008-06-18 10:01 77824 ----a-w- c:\windows\SoundMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.11.2009 22:11 108289] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = www.web.de uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s IE: Save YouTube Video as MP3 FF - ProfilePath - c:\dokumente und einstellungen\inge\Anwendungsdaten\Mozilla\Firefox\Profiles\o5zbm7qg.default\ FF - prefs.js: browser.startup.homepage - hxxp://web.de FF - prefs.js: keyword.URL - hxxp://wa.ui-portal.de/webde/webde/s?produkte.browser.link.searchlink&s_brand=webde&t_link=searchlink&ns_type=clickin&ns_url=hxxp://suche.web.de/search/web/?origin=searchplugin&su= FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("general.useragent.extra.cck", "(WEB.DE)"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-MsnMsgr - c:\programme\Windows Live\Messenger\MsnMsgr.Exe . Zeit der Fertigstellung: 2010-10-10 20:33:35 ComboFix-quarantined-files.txt 2010-10-10 18:33 Vor Suchlauf: 7 Verzeichnis(se), 71.847.825.408 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 71.892.103.168 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - 4BB1AEEF19D5488CBB9A97B1847D07EE |
10.10.2010, 19:43 | #9 |
/// Malware-holic | Automatische Weiterleitung beim Googeln öffne den ccleaner, extras, liste der instalierten programme, speichere die als txt. nun öffne die txt. schreibe hinter von dir benötigte programme, notwendig. hinter von dir nicht benötigte programme, unnötig. hinter dir unbekannte programme, unbekannt. poste die liste. |
10.10.2010, 19:59 | #10 |
| Automatische Weiterleitung beim Googeln Also die Liste: Code:
ATTFilter Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.0.22.87 Notwendig Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.0.32.18 Notwendig Adobe Reader 8.1.3 - Deutsch Adobe Systems Incorporated 8.1.3 Notwendig Asus ACPI Driver ASUSTek Computer 3.00.0011 Unbekannt ASUSUpdate for Eee PC Unbekannt Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver Atheros Communications Inc. 1.0.0.21 Unbekannt Avira AntiVir Personal - Free Antivirus Avira GmbH Notwendig CCleaner Piriform 2.28 Notwendig Compatibility Pack für 2007 Office System Microsoft Corporation 12.0.6425.1000 Notwendig Eee Instant Key ASUS 1.08 Unbekannt Eee Storage ECAREME 1.1.10 Unbekannt HP Customer Participation Program 10.0 HP 10.0 Notwendig HP Deskjet D1500 Printer Driver Software 10.0 Rel .3 HP 10.0 Notwendig HP Imaging Device Functions 10.0 HP 10.0 Notwenndig HP Photosmart Essential 2.5 HP 2.5 Notwendig HP Smart Web Printing HP 3.5 Notwendig HP Solution Center 13.0 HP 13.0 Notwendig HP Update Hewlett-Packard 5.002.001.004 Notwendig Intel(R) Graphics Media Accelerator Driver Unbekannt Java(TM) 6 Update 21 Sun Microsystems, Inc. 6.0.210 Ich vermute mal notwendig Malwarebytes' Anti-Malware Malwarebytes Corporation Unnötig Microsoft .NET Framework 1.1 Unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 Unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 Unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation Unbekannt Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 Unbekannt Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 3.1.0000 Unbekannt Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation Unbekannt Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 9.0.30729 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 Unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 Unbekannt Microsoft Works Microsoft Corporation 9.7.0621 Unnötig Mozilla Firefox (3.6.10) Mozilla 3.6.10 (de) Notwendig Realtek High Definition Audio Driver Realtek Semiconductor Corp. 5.10.0.5667 Notwendig Skype™ 4.1 Skype Technologies S.A. 4.1.166 Unnötig StarOffice 8 ASUS Edition Sun Microsystems 8.00.9251 Notwendig Super Hybrid Engine ASUS 1.06 Unbekannt Windows Media Format 11 runtime Notwendig Windows Media Player 11 Notwendig Geändert von BlueMagic (10.10.2010 um 20:10 Uhr) |
10.10.2010, 20:02 | #11 |
/// Malware-holic | Automatische Weiterleitung beim Googeln BlueMagic * lies was ich geschrieben hab, und dann bearbeite die liste dem entsprechend. |
10.10.2010, 20:12 | #12 |
| Automatische Weiterleitung beim Googeln Ich weiß nicht ob du den Text unter der Liste auch gesehen hast, aber ich habe auch nochmal versucht die Programme einzuordnen (habs oben editiert). |
10.10.2010, 20:19 | #13 |
/// Malware-holic | Automatische Weiterleitung beim Googeln sorry das hatte ich wirklich nicht gelesen, sieht ja recht aufgeräumt auf :-) ok los gehts. Adobe Reader 8.1.3 deinstalieren und ersetzen durch: Adobe - Adobe Reader herunterladen - Alle Versionen öffne dann den reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: Adobe Reader schneller starten behalte aber: EScript.api Escript.deu Search.api Search.DEU Deinstaliere. Microsoft SQL Server Skype™ 4.1 avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
10.10.2010, 21:41 | #14 |
| Automatische Weiterleitung beim Googeln Es gab 1 Fund. Hier das Protokoll: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 10. Oktober 2010 21:57 Es wird nach 2914708 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : inge Computername : CUXHAVENMAI Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:45:59 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:46:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:47:17 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 19:47:55 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 19:47:56 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 19:47:56 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 19:47:56 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 19:47:56 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 19:47:58 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 19:48:00 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 19:48:01 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 19:48:03 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 19:48:04 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 19:48:06 VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 19:48:07 VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 19:48:09 VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 19:48:10 VBASE022.VDF : 7.10.12.149 2048 Bytes 07.10.2010 19:48:11 VBASE023.VDF : 7.10.12.150 2048 Bytes 07.10.2010 19:48:11 VBASE024.VDF : 7.10.12.151 2048 Bytes 07.10.2010 19:48:11 VBASE025.VDF : 7.10.12.152 2048 Bytes 07.10.2010 19:48:11 VBASE026.VDF : 7.10.12.153 2048 Bytes 07.10.2010 19:48:11 VBASE027.VDF : 7.10.12.154 2048 Bytes 07.10.2010 19:48:11 VBASE028.VDF : 7.10.12.155 2048 Bytes 07.10.2010 19:48:11 VBASE029.VDF : 7.10.12.156 2048 Bytes 07.10.2010 19:48:11 VBASE030.VDF : 7.10.12.157 2048 Bytes 07.10.2010 19:48:11 VBASE031.VDF : 7.10.12.167 75776 Bytes 08.10.2010 19:48:12 Engineversion : 8.2.4.72 AEVDF.DLL : 8.1.2.1 106868 Bytes 10.10.2010 19:48:50 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 10.10.2010 19:48:49 AESCN.DLL : 8.1.6.1 127347 Bytes 10.10.2010 19:48:45 AESBX.DLL : 8.1.3.1 254324 Bytes 10.10.2010 19:48:51 AERDL.DLL : 8.1.9.2 635252 Bytes 10.10.2010 19:48:44 AEPACK.DLL : 8.2.3.7 471413 Bytes 10.10.2010 19:48:40 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 10.10.2010 19:48:37 AEHEUR.DLL : 8.1.2.30 2941303 Bytes 10.10.2010 19:48:36 AEHELP.DLL : 8.1.13.4 242038 Bytes 10.10.2010 19:48:22 AEGEN.DLL : 8.1.3.23 401779 Bytes 10.10.2010 19:48:21 AEEMU.DLL : 8.1.2.0 393588 Bytes 10.10.2010 19:48:18 AECORE.DLL : 8.1.17.0 196982 Bytes 10.10.2010 19:48:17 AEBB.DLL : 8.1.1.0 53618 Bytes 10.10.2010 19:48:16 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 10 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 10. Oktober 2010 21:57 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '341' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP121\A0039672.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3 Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP121\A0039672.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4683803d.qua' verschoben! Ende des Suchlaufs: Sonntag, 10. Oktober 2010 22:39 Benötigte Zeit: 41:08 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 3972 Verzeichnisse wurden überprüft 273195 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 273194 Dateien ohne Befall 10396 Archive wurden durchsucht 0 Warnungen 1 Hinweise 34961 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
11.10.2010, 10:58 | #15 |
/// Malware-holic | Automatische Weiterleitung beim Googeln rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen/ok 5 min warten. wieder einschalten. nutze den eset online scan Free ESET Online Antivirus Scanner ergebniss posten. |
Themen zu Automatische Weiterleitung beim Googeln |
andere, antivir, anzahl, arbeitsplatz, ausprobiert, aussehen, automatische, automatische weiterleitung, browser-fenster, einiger, googel, googeln, installation, klick, klickt, link, malwarebytes, nicht öffnen, probleme, programme, spybot, suchseite, viren, virenprogramme, weitergeleitet, weiterleitung, öffnen, öffnet |