| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: von SpyHunter4 und angehängten Trojanern befreien? Wie?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.11.2010, 01:38
| #1 |
| |  von SpyHunter4 und angehängten Trojanern befreien? Wie? Habe mir SpyHunter4 heruntergeladen und installiert. Zuvor ware ich schon von ThinkPoint befallen, das habe ich aber glaube ich schon gelöst. welche informationen braucht ihr um mir helfen zu können? Welche Log-Files und welche sonstige informationen? Wäre super nett. Danke schon mal jedem der mir antwortet im Voraus...  |
|
13.11.2010, 08:23
| #2 | |||
| /// Helfer-Team    |  von SpyHunter4 und angehängten Trojanern befreien? Wie? Hallo und Herzlich Willkommen!
__________________ Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
 abgesehen davon, die Tatsache, dass hier handelt es sich zweifellos um das am schnellsten wachsende Gebiet von Schadprogramme, grundsätzlich gilt: Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm u nd belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen  ► Falls es Meldung/Bericht von deinem Antivirenprogramm oder andere Schutzprogramme gibt, bitte posten! Was gefunden und vor allem wo... ► Beschreibe, welche Versuche du unternommen hast, um das Problem zu lösen (die schon vorhandenen Ergebnisse auch posten) 1. - Lade dir Random's System Information Tool (RSIT) von random/random herunter - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von RSIT installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten **Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) 2. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 3. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool "Ccleaner" herunter → "Download"→ " Download from FileHippo.com" installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
|
13.11.2010, 23:34
| #3 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? ich habe versucht es mit nem otl zu fixen das ich hier im board in einem beitrag zu ThinkPoint und SpyHunter gefunden habe. Die fix.txt die cih benutzt habe sah fogendermaßen aus:
__________________Code:
ATTFilter
:OTL
O20 - HKU\Rainer_ON_C Winlogon: Shell - (C:\Users\Rainer\AppData\Roaming\hotfix.exe) - C:\Users\Rainer\AppData\Roaming\hotfix.exe ()
[2010/11/01 05:46:51 | 000,000,827 | ---- | M] () -- C:\Users\Rainer\Desktop\ThinkPoint.lnk
[2010/11/01 05:17:04 | 000,544,768 | ---- | M] () -- C:\Users\Rainer\AppData\Roaming\hotfix.exe
[2010/11/01 05:17:04 | 000,000,213 | ---- | M] () -- C:\Users\Rainer\AppData\Roaming\dkfjasdfshd.bat
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
Meine ersten otl auswertungen die ich am 11.11 gemacht hatte sahen wie folgt aus. Extras.txt: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 11.11.2010 18:03:26 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\Paul\Downloads
Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 67,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 298,08 Gb Total Space | 205,67 Gb Free Space | 69,00% Space Free | Partition Type: NTFS
Drive D: | 5,80 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 971,63 Mb Total Space | 921,16 Mb Free Space | 94,81% Space Free | Partition Type: FAT
Computer Name: PAUL-PC | User Name: Paul | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htafile [open] -- "%1" %*
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Bridge] -- C:\Program Files\Adobe\Adobe Bridge CS5\Bridge.exe "%L" (Adobe Systems, Inc.)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L" File not found
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{[X]}" = Microsoft_VC90_ATL_x86
"{[X]}" = Microsoft_VC90_CRT_x86
"{[X]}" = Adobe Community Help
"{[X]}" = Windows Media Center Add-in for Silverlight
"{[X]}" = Microsoft_VC80_ATL_x86
"{[X]}" = Adobe Photoshop CS5
"{[X]}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{[X]}" = Safari
"{[X]}" = Java(TM) 6 Update 21
"{[X]}" = iTunes
"{[X]}" = eReg
"{[X]}" = Google Earth
"{[X]}" = Java Auto Updater
"{[X]}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411
"{[X]}" = VC80CRTRedist - 8.0.50727.4053
"{[X]}" = Microsoft_VC90_MFC_x86
"{[X]}" = ICQ7.2
"{[X]}" = Microsoft Silverlight
"{[X]}" = TI Package Explorer
"{[X]}" = Microsoft Office Excel MUI (German) 2007
"{[X]}" = Microsoft Office PowerPoint MUI (German) 2007
"{[X]}" = Microsoft Office Word MUI (German) 2007
"{[X]}" = Microsoft Office Proof (German) 2007
"{[X]}" = Microsoft Office Proof (English) 2007
"{[X]}" = Microsoft Office Proof (French) 2007
"{[X]}" = Microsoft Office Proof (Italian) 2007
"{[X]}" = Microsoft Office Proofing (German) 2007
"{[X]}" = Microsoft Office Shared MUI (German) 2007
"{[X]}" = Microsoft Office OneNote MUI (German) 2007
"{[X]}" = Microsoft Office Home and Student 2007
"{[X]}" = Microsoft_VC80_CRT_x86
"{[X]}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{[X]}" = Internet-TV für Windows Media Center
"{[X]}" = SpyHunter
"{[X]}" = Adobe AIR
"{[X]}" = PDF Settings CS5
"{[X]}" = TI Connect 1.6
"{[X]}" = Adobe Reader 9.4.0 - Deutsch
"{[X]}" = ATI Catalyst Install Manager
"{[X]}" = Apple Software Update
"{[X]}" = Apple Mobile Device Support
"{[X]}" = Skype™ 4.2
"{[X]}" = Microsoft_VC80_MFC_x86
"{[X]}" = Microsoft_VC80_MFCLOC_x86
"{[X]}" = Apple Application Support
"{[X]}" = Adobe Media Player
"{[X]}" = QuickTime
"{[X]}" = Bonjour
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BitTorrent" = BitTorrent
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"DivX Setup.divx.com" = DivX-Setup
"Free YouTube to iPod Converter_is1" = Free YouTube to iPod Converter version 3.8
"Guitar Pro 5_is1" = Guitar Pro 5.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"SP6" = Logitech SetPoint 6.15
"Tunngle beta_is1" = Tunngle beta
"Uninstall_is1" = Uninstall 1.0.0.1
"WinRAR archiver" = WinRAR
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 03.11.2010 23:04:28 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 03.11.2010 23:04:28 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 03.11.2010 23:08:45 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 03.11.2010 23:08:45 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 05.11.2010 00:41:49 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 05.11.2010 00:41:49 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 05.11.2010 14:27:02 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 05.11.2010 14:27:02 | Computer Name = Paul-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 05.11.2010 14:42:28 | Computer Name = Paul-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 05.11.2010 14:42:28 | Computer Name = Paul-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 1217
[ Media Center Events ]
Error - 10.08.2010 04:27:22 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 10:27:22 - Fehler beim Herstellen der Internetverbindung. 10:27:22
- Serververbindung konnte nicht hergestellt werden..
Error - 10.08.2010 04:27:29 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 10:27:27 - Fehler beim Herstellen der Internetverbindung. 10:27:27
- Serververbindung konnte nicht hergestellt werden..
Error - 10.08.2010 05:27:33 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 11:27:33 - Fehler beim Herstellen der Internetverbindung. 11:27:33
- Serververbindung konnte nicht hergestellt werden..
Error - 10.08.2010 05:27:40 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 11:27:38 - Fehler beim Herstellen der Internetverbindung. 11:27:38
- Serververbindung konnte nicht hergestellt werden..
Error - 10.08.2010 06:27:44 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 12:27:44 - Fehler beim Herstellen der Internetverbindung. 12:27:44
- Serververbindung konnte nicht hergestellt werden..
Error - 10.08.2010 06:27:51 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 12:27:49 - Fehler beim Herstellen der Internetverbindung. 12:27:49
- Serververbindung konnte nicht hergestellt werden..
Error - 15.08.2010 14:27:54 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 14:27:54 - Fehler beim Herstellen der Internetverbindung. 14:27:54
- Serververbindung konnte nicht hergestellt werden..
Error - 15.08.2010 14:28:04 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 14:27:59 - Fehler beim Herstellen der Internetverbindung. 14:27:59
- Serververbindung konnte nicht hergestellt werden..
Error - 02.10.2010 21:01:22 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 21:01:22 - Fehler beim Herstellen der Internetverbindung. 21:01:22
- Serververbindung konnte nicht hergestellt werden..
Error - 02.10.2010 21:02:03 | Computer Name = Paul-PC | Source = MCUpdate | ID = 0
Description = 21:01:51 - Fehler beim Herstellen der Internetverbindung. 21:01:51
- Serververbindung konnte nicht hergestellt werden..
[ System Events ]
Error - 01.11.2010 21:13:25 | Computer Name = Paul-PC | Source = Microsoft-Windows-WHEA-Logger | ID = 18
Description = Schwerwiegender Hardwarefehler. Gemeldet von Komponente: Prozessorkern
Fehlerquelle:
3 Fehlertyp: 256 Prozessor-ID: 0 Die Detailansicht dieses Eintrags beinhaltet weitere
Informationen.
Error - 01.11.2010 21:13:25 | Computer Name = Paul-PC | Source = Microsoft-Windows-WHEA-Logger | ID = 18
Description = Schwerwiegender Hardwarefehler. Gemeldet von Komponente: Prozessorkern
Fehlerquelle:
3 Fehlertyp: 9 Prozessor-ID: 1 Die Detailansicht dieses Eintrags beinhaltet weitere
Informationen.
Error - 01.11.2010 21:13:25 | Computer Name = Paul-PC | Source = Microsoft-Windows-WHEA-Logger | ID = 18
Description = Schwerwiegender Hardwarefehler. Gemeldet von Komponente: Prozessorkern
Fehlerquelle:
3 Fehlertyp: 256 Prozessor-ID: 1 Die Detailansicht dieses Eintrags beinhaltet weitere
Informationen.
Error - 01.11.2010 23:10:42 | Computer Name = Paul-PC | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
Error - 01.11.2010 23:10:42 | Computer Name = Paul-PC | Source = atikmdag | ID = 43029
Description = Display is not active
Error - 01.11.2010 23:11:09 | Computer Name = Paul-PC | Source = Microsoft-Windows-WHEA-Logger | ID = 18
Description = Schwerwiegender Hardwarefehler. Gemeldet von Komponente: Prozessorkern
Fehlerquelle:
3 Fehlertyp: 256 Prozessor-ID: 0 Die Detailansicht dieses Eintrags beinhaltet weitere
Informationen.
Error - 01.11.2010 23:11:09 | Computer Name = Paul-PC | Source = Microsoft-Windows-WHEA-Logger | ID = 18
Description = Schwerwiegender Hardwarefehler. Gemeldet von Komponente: Prozessorkern
Fehlerquelle:
3 Fehlertyp: 256 Prozessor-ID: 0 Die Detailansicht dieses Eintrags beinhaltet weitere
Informationen.
Error - 01.11.2010 23:11:09 | Computer Name = Paul-PC | Source = Microsoft-Windows-WHEA-Logger | ID = 18
Description = Schwerwiegender Hardwarefehler. Gemeldet von Komponente: Prozessorkern
Fehlerquelle:
3 Fehlertyp: 256 Prozessor-ID: 1 Die Detailansicht dieses Eintrags beinhaltet weitere
Informationen.
Error - 02.11.2010 19:13:33 | Computer Name = Paul-PC | Source = atikmdag | ID = 43029
Description = Display is not active
Error - 02.11.2010 19:15:46 | Computer Name = Paul-PC | Source = DCOM | ID = 10010
Description =
< End of report >
Die OTL.txt vom 11.11 war diese: OTL Logfile: Code:
ATTFilter OTL logfile created on: 11.11.2010 18:03:26 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\Paul\Downloads Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 67,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 298,08 Gb Total Space | 205,67 Gb Free Space | 69,00% Space Free | Partition Type: NTFS Drive D: | 5,80 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF Drive E: | 971,63 Mb Total Space | 921,16 Mb Free Space | 94,81% Space Free | Partition Type: FAT Computer Name: PAUL-PC | User Name: Paul | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.11.11 17:52:20 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\Paul\Downloads\OTL.exe PRC - [2010.11.11 16:30:08 | 000,113,152 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe PRC - [2010.11.11 16:24:45 | 000,126,464 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe PRC - [2010.11.11 14:55:52 | 000,071,168 | ---- | M] (win32) -- C:\Users\Paul\AppData\Local\Temp\enuxhq.exe PRC - [2010.11.03 22:08:23 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.03 22:08:22 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.11.03 22:08:22 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe PRC - [2010.09.21 14:51:54 | 000,327,000 | ---- | M] (Enigma Software Group USA, LLC.) -- C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE PRC - [2010.09.01 01:39:18 | 001,164,584 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe PRC - [2010.08.20 15:00:18 | 002,388,264 | ---- | M] (Apple Inc.) -- C:\Program Files\Safari\Safari.exe PRC - [2010.08.13 11:58:56 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2010.07.06 11:14:56 | 000,716,024 | ---- | M] (Tunngle.net GmbH) -- C:\Program Files\Tunngle\TnglCtrl.exe PRC - [2010.06.25 19:15:32 | 001,311,312 | ---- | M] (Logitech, Inc.) -- C:\Program Files\Logitech\SetPointP\SetPoint.exe PRC - [2010.06.22 14:09:20 | 000,112,208 | ---- | M] (Logitech, Inc.) -- C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE PRC - [2010.01.14 15:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.10.31 00:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2009.08.17 19:36:36 | 000,348,160 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe PRC - [2009.08.17 19:36:08 | 000,176,128 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe PRC - [2009.07.13 20:14:46 | 000,115,200 | ---- | M] () -- \\?\C:\Windows\System32\wbem\WMIADAP.EXE PRC - [2009.07.13 20:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe PRC - [2009.07.13 20:14:29 | 003,179,520 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sppsvc.exe PRC - [2009.07.13 20:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe ========== Modules (SafeList) ========== MOD - [2010.11.11 17:52:20 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\Paul\Downloads\OTL.exe MOD - [2009.07.13 20:16:15 | 000,099,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sspicli.dll MOD - [2009.07.13 20:16:13 | 000,092,160 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sechost.dll MOD - [2009.07.13 20:16:13 | 000,050,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\samcli.dll MOD - [2009.07.13 20:16:12 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\profapi.dll MOD - [2009.07.13 20:16:03 | 000,022,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netutils.dll MOD - [2009.07.13 20:15:35 | 000,288,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\KernelBase.dll MOD - [2009.07.13 20:15:13 | 000,067,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dwmapi.dll MOD - [2009.07.13 20:15:11 | 000,064,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\devobj.dll MOD - [2009.07.13 20:15:07 | 000,036,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cryptbase.dll MOD - [2009.07.13 20:15:02 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cfgmgr32.dll MOD - [2009.07.13 20:03:50 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - [2010.11.03 22:08:23 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.11.03 22:08:22 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.09.21 14:51:54 | 000,327,000 | ---- | M] (Enigma Software Group USA, LLC.) [Auto | Running] -- C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE -- (SpyHunter 4 Service) SRV - [2010.08.13 11:58:56 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010.07.06 11:14:56 | 000,716,024 | ---- | M] (Tunngle.net GmbH) [Auto | Running] -- C:\Program Files\Tunngle\TnglCtrl.exe -- (TunngleService) SRV - [2010.05.06 04:29:12 | 000,293,456 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe -- (LBTServ) SRV - [2010.02.19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard) SRV - [2009.08.17 19:36:08 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility) SRV - [2009.07.13 20:16:21 | 000,185,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wwansvc.dll -- (WwanSvc) SRV - [2009.07.13 20:16:17 | 000,151,552 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wbiosrvc.dll -- (WbioSrvc) SRV - [2009.07.13 20:16:17 | 000,119,808 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpo.dll -- (Power) SRV - [2009.07.13 20:16:16 | 000,037,376 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\themeservice.dll -- (Themes) SRV - [2009.07.13 20:16:15 | 000,053,760 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sppuinotify.dll -- (sppuinotify) SRV - [2009.07.13 20:16:13 | 000,043,520 | ---- | M] (Microsoft Corporation) [Unknown | Running] -- C:\Windows\System32\RpcEpMap.dll -- (RpcEptMapper) SRV - [2009.07.13 20:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc) SRV - [2009.07.13 20:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc) SRV - [2009.07.13 20:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\pnrpsvc.dll -- (PNRPsvc) SRV - [2009.07.13 20:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\pnrpsvc.dll -- (p2pimsvc) SRV - [2009.07.13 20:16:12 | 000,165,376 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\provsvc.dll -- (HomeGroupProvider) SRV - [2009.07.13 20:16:12 | 000,020,480 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpauto.dll -- (PNRPAutoReg) SRV - [2009.07.13 20:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend) SRV - [2009.07.13 20:15:36 | 000,194,560 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\ListSvc.dll -- (HomeGroupListener) SRV - [2009.07.13 20:15:21 | 000,797,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\FntCache.dll -- (FontCache) SRV - [2009.07.13 20:15:11 | 000,253,440 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\dhcpcore.dll -- (Dhcp) SRV - [2009.07.13 20:15:10 | 000,218,624 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\defragsvc.dll -- (defragsvc) SRV - [2009.07.13 20:14:59 | 000,076,800 | ---- | M] (Microsoft Corporation) [Unknown | Stopped] -- C:\Windows\System32\bdesvc.dll -- (BDESVC) SRV - [2009.07.13 20:14:58 | 000,088,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\AxInstSv.dll -- (AxInstSV) ActiveX-Installer (AxInstSV) SRV - [2009.07.13 20:14:53 | 000,027,648 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\appidsvc.dll -- (AppIDSvc) SRV - [2009.07.13 20:14:29 | 003,179,520 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\sppsvc.exe -- (sppsvc) ========== Driver Services (SafeList) ========== DRV - [2010.11.03 22:08:23 | 000,126,856 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2010.11.03 22:08:23 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.04.07 13:57:06 | 000,062,520 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\amdsata.sys -- (amdsata) DRV - [2010.04.07 13:57:06 | 000,024,120 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\amdxata.sys -- (amdxata) DRV - [2010.03.18 04:02:08 | 000,037,328 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LMouFilt.Sys -- (LMouFilt) DRV - [2010.03.18 04:01:52 | 000,038,864 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LHidFilt.Sys -- (LHidFilt) DRV - [2010.03.09 21:03:50 | 000,014,392 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\AtiPcie.sys -- (AtiPcie) AMD PCI Express (3GIO) DRV - [2010.01.27 18:10:44 | 000,005,248 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) DRV - [2009.12.21 14:56:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\usbfilter.sys -- (usbfilter) DRV - [2009.12.11 02:44:02 | 000,133,720 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\ksecpkg.sys -- (KSecPkg) DRV - [2009.09.16 01:02:40 | 000,027,136 | ---- | M] (Tunngle.net) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tap0901t.sys -- (tap0901t) TAP-Win32 Adapter V9 (Tunngle) DRV - [2009.08.17 20:48:06 | 004,994,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag) DRV - [2009.07.13 20:26:21 | 000,015,952 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\cmdide.sys -- (cmdide) DRV - [2009.07.13 20:26:17 | 000,297,552 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpahci.sys -- (adpahci) DRV - [2009.07.13 20:26:15 | 000,422,976 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adp94xx.sys -- (adp94xx) DRV - [2009.07.13 20:26:15 | 000,159,312 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsbs.sys -- (amdsbs) DRV - [2009.07.13 20:26:15 | 000,146,512 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpu320.sys -- (adpu320) DRV - [2009.07.13 20:26:15 | 000,086,608 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arcsas.sys -- (arcsas) DRV - [2009.07.13 20:26:15 | 000,076,368 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arc.sys -- (arc) DRV - [2009.07.13 20:26:15 | 000,014,400 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\aliide.sys -- (aliide) DRV - [2009.07.13 20:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvstor.sys -- (nvstor) DRV - [2009.07.13 20:20:44 | 000,117,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvraid.sys -- (nvraid) DRV - [2009.07.13 20:20:44 | 000,044,624 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nfrd960.sys -- (nfrd960) DRV - [2009.07.13 20:20:37 | 000,089,168 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas.sys -- (LSI_SAS) DRV - [2009.07.13 20:20:36 | 000,332,352 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iaStorV.sys -- (iaStorV) DRV - [2009.07.13 20:20:36 | 000,235,584 | ---- | M] (LSI Corporation, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MegaSR.sys -- (MegaSR) DRV - [2009.07.13 20:20:36 | 000,096,848 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_scsi.sys -- (LSI_SCSI) DRV - [2009.07.13 20:20:36 | 000,095,824 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_fc.sys -- (LSI_FC) DRV - [2009.07.13 20:20:36 | 000,054,864 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas2.sys -- (LSI_SAS2) DRV - [2009.07.13 20:20:36 | 000,041,040 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iirsp.sys -- (iirsp) DRV - [2009.07.13 20:20:36 | 000,030,800 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\megasas.sys -- (megasas) DRV - [2009.07.13 20:20:36 | 000,013,904 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\hwpolicy.sys -- (hwpolicy) DRV - [2009.07.13 20:20:28 | 000,453,712 | ---- | M] (Emulex) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\elxstor.sys -- (elxstor) DRV - [2009.07.13 20:20:28 | 000,070,720 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\djsvs.sys -- (aic78xx) DRV - [2009.07.13 20:20:28 | 000,067,152 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\HpSAMD.sys -- (HpSAMD) DRV - [2009.07.13 20:20:28 | 000,046,160 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\fsdepends.sys -- (FsDepends) DRV - [2009.07.13 20:19:11 | 000,141,904 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vsmraid.sys -- (vsmraid) DRV - [2009.07.13 20:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus) DRV - [2009.07.13 20:19:10 | 000,159,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vhdmp.sys -- (vhdmp) DRV - [2009.07.13 20:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vmstorfl.sys -- (storflt) DRV - [2009.07.13 20:19:10 | 000,032,832 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vdrvroot.sys -- (vdrvroot) DRV - [2009.07.13 20:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc) DRV - [2009.07.13 20:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\wimmount.sys -- (WIMMount) DRV - [2009.07.13 20:19:10 | 000,016,976 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\viaide.sys -- (viaide) DRV - [2009.07.13 20:19:04 | 001,383,488 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql2300.sys -- (ql2300) DRV - [2009.07.13 20:19:04 | 000,173,648 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\rdyboost.sys -- (rdyboost) DRV - [2009.07.13 20:19:04 | 000,106,064 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql40xx.sys -- (ql40xx) DRV - [2009.07.13 20:19:04 | 000,077,888 | ---- | M] (Silicon Integrated Systems) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\sisraid4.sys -- (SiSRaid4) DRV - [2009.07.13 20:19:04 | 000,043,088 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\pcw.sys -- (pcw) DRV - [2009.07.13 20:19:04 | 000,040,016 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\SiSRaid2.sys -- (SiSRaid2) DRV - [2009.07.13 20:19:04 | 000,021,072 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\stexstor.sys -- (stexstor) DRV - [2009.07.13 20:17:54 | 000,369,568 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\cng.sys -- (CNG) DRV - [2009.07.13 19:57:25 | 000,272,128 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\Brserid.sys -- (Brserid) Brother MFC-Seriellschnittstellentreiber (WDM) DRV - [2009.07.13 19:02:41 | 000,018,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rdpbus.sys -- (rdpbus) DRV - [2009.07.13 19:01:41 | 000,007,168 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\RDPREFMP.sys -- (RDPREFMP) DRV - [2009.07.13 18:55:00 | 000,049,152 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\agilevpn.sys -- (RasAgileVpn) WAN Miniport (IKEv2) DRV - [2009.07.13 18:53:51 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\wfplwf.sys -- (WfpLwf) DRV - [2009.07.13 18:52:44 | 000,027,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ndiscap.sys -- (NdisCap) DRV - [2009.07.13 18:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp) DRV - [2009.07.13 18:52:04 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\vwififlt.sys -- (vwififlt) DRV - [2009.07.13 18:52:02 | 000,019,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifibus.sys -- (vwifibus) DRV - [2009.07.13 18:52:00 | 000,163,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\1394ohci.sys -- (1394ohci) DRV - [2009.07.13 18:51:35 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\umpass.sys -- (UmPass) DRV - [2009.07.13 18:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb) DRV - [2009.07.13 18:51:08 | 000,004,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mshidkmdf.sys -- (mshidkmdf) DRV - [2009.07.13 18:46:55 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MTConfig.sys -- (MTConfig) DRV - [2009.07.13 18:45:26 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CompositeBus.sys -- (CompositeBus) DRV - [2009.07.13 18:36:52 | 000,050,176 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\appid.sys -- (AppID) DRV - [2009.07.13 18:33:50 | 000,026,624 | ---- | M] (Microsoft Corporation) [Kernel | Unknown | Stopped] -- C:\Windows\System32\drivers\scfilter.sys -- (scfilter) DRV - [2009.07.13 18:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap) DRV - [2009.07.13 18:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID) DRV - [2009.07.13 18:24:05 | 000,032,256 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\discache.sys -- (discache) DRV - [2009.07.13 18:16:36 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\acpipmi.sys -- (AcpiPmi) DRV - [2009.07.13 18:11:04 | 000,052,736 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\amdppm.sys -- (AmdPPM) DRV - [2009.07.13 17:54:14 | 000,026,624 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\hcw85cir.sys -- (hcw85cir) DRV - [2009.07.13 17:53:33 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbMdm.sys -- (BrUsbMdm) Brother MFC-nur-Fax-Modem (USB) DRV - [2009.07.13 17:53:33 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbSer.sys -- (BrUsbSer) Brother MFC-WDM-Treiber (USB,seriell) DRV - [2009.07.13 17:53:32 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrSerWdm.sys -- (BrSerWdm) Brother WDM-Treiber (seriell) DRV - [2009.07.13 17:53:28 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltLo.sys -- (BrFiltLo) DRV - [2009.07.13 17:53:28 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltUp.sys -- (BrFiltUp) DRV - [2009.07.13 17:13:48 | 001,035,776 | ---- | M] (LSI Corp) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem) DRV - [2009.07.13 17:02:53 | 000,311,296 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7) DRV - [2009.07.13 17:02:50 | 000,118,784 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\E1G60I32.sys -- (E1G60) Intel(R) DRV - [2009.07.13 17:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\b57nd60x.sys -- (b57nd60x) DRV - [2009.07.13 17:02:48 | 003,100,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\evbdx.sys -- (ebdrv) DRV - [2009.07.13 17:02:48 | 001,131,008 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\BCMWL6.SYS -- (BCM43XX) DRV - [2009.07.13 17:02:48 | 000,430,080 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\bxvbdx.sys -- (b06bdrv) DRV - [2009.05.11 03:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2004.02.04 09:27:56 | 000,049,536 | ---- | M] (Texas Instruments Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tiehdusb.sys -- (TIEHDUSB) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 18 EE 56 E1 16 77 CB 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370 O1 HOSTS File: ([2010.10.06 20:13:28 | 000,001,796 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 activate.adobe.com O1 - Hosts: 127.0.0.1 practivate.adobe.com O1 - Hosts: 127.0.0.1 ereg.adobe.com O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com O1 - Hosts: 127.0.0.1 wip3.adobe.com O1 - Hosts: 127.0.0.1 3dns-3.adobe.com O1 - Hosts: 127.0.0.1 3dns-2.adobe.com O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com O1 - Hosts: 127.0.0.1 activate-sea.adobe.com O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com O1 - Hosts: 127.0.0.1 adobe.activate.com O1 - Hosts: 127.0.0.1 adobeereg.com O1 - Hosts: 127.0.0.1 www.adobeereg.com O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com O1 - Hosts: 127.0.0.1 125.252.224.90 O1 - Hosts: 127.0.0.1 125.252.224.91 O1 - Hosts: 127.0.0.1 hl2rcv.adobe.com O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.) O4 - HKLM..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated) O4 - HKCU..\Run: [454D5A46_ 0] C:\Users\Paul\AppData\Local\Temp\enuxhq.exe (win32) O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [svchost] C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe () O4 - HKCU..\Run: [Thezonusohom] C:\Users\Paul\AppData\Local\idojucowoziqip.DLL (Ask.com) O4 - HKCU..\Run: [Ygixofafah] C:\Users\Paul\AppData\Local\idasDar.DLL (Progressive Networks) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowLegacyWebView = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowUnhashedWebView = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O9 - Extra Button: An OneNote senden - {[X]} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {[X]} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: ICQ7.2 - {[X]} - C:\Program Files\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {[X]} - C:\Program Files\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {[X]} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {[X]} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {[X]} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {[X]} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {[X]} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 68.237.161.12 O18 - Protocol\Filter\text/xml {[X]} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe) - C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe () O20 - Winlogon\Notify\LBTWlgn: DllName - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (Logitech, Inc.) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 16:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.11.11 18:01:06 | 000,000,000 | ---D | C] -- C:\Users\Paul\AppData\Local\{[X]} [2010.11.11 17:54:41 | 000,000,000 | ---D | C] -- C:\Windows\System32\appmgmt [2010.11.11 17:47:07 | 000,000,000 | ---D | C] -- C:\Users\Paul\AppData\Roaming\GetRightToGo [2010.11.11 16:58:19 | 000,000,000 | ---D | C] -- C:\sh4ldr [2010.11.11 16:58:19 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2010.11.11 16:57:50 | 000,000,000 | ---D | C] -- C:\Windows\9EFA732347A048E28F7735DB5EED500A.TMP [2010.11.11 14:56:10 | 000,559,104 | ---- | C] (TP AG) -- C:\Users\Paul\AppData\Roaming\hotfix.exe [2010.11.11 14:55:41 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server [2010.11.11 00:27:59 | 000,000,000 | ---D | C] -- C:\Program Files\TuneUpMedia [2010.10.24 14:20:16 | 000,000,000 | --SD | C] -- C:\Users\Paul\AppData\Roaming\Virtual CD v10 [2010.10.24 14:06:49 | 000,000,000 | ---D | C] -- C:\Users\Paul\AppData\Roaming\drms [2010.10.24 14:05:49 | 000,000,000 | ---D | C] -- C:\Users\Paul\My Documents [2010.10.24 00:05:38 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Silverlight [2010.10.17 19:03:09 | 000,000,000 | ---D | C] -- C:\Users\Paul\Desktop\Neuer Ordner [2009.07.13 18:24:44 | 000,204,288 | ---- | C] (Ask.com) -- C:\Users\Paul\AppData\Local\idojucowoziqip.dll [2009.07.13 18:24:44 | 000,085,504 | ---- | C] (Progressive Networks) -- C:\Users\Paul\AppData\Local\idasDar.dll [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.11 18:05:54 | 000,643,866 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.11.11 18:05:54 | 000,607,190 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.11.11 18:05:54 | 000,126,394 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.11.11 18:05:54 | 000,103,568 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.11.11 18:04:21 | 000,016,624 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.11.11 18:04:21 | 000,016,624 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.11.11 18:01:08 | 000,000,120 | ---- | M] () -- C:\Users\Paul\AppData\Local\Cpupujofulohoqus.dat [2010.11.11 18:01:08 | 000,000,000 | ---- | M] () -- C:\Users\Paul\AppData\Local\Jwazeduz.bin [2010.11.11 17:59:09 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.11.11 17:59:04 | 2212,126,720 | -HS- | M] () -- C:\hiberfil.sys [2010.11.11 17:58:21 | 000,000,000 | ---- | M] () -- C:\Windows\System32\Access.dat [2010.11.11 15:02:24 | 000,000,006 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\start [2010.11.11 15:01:33 | 000,000,006 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\completescan [2010.11.11 14:56:51 | 000,000,010 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\install [2010.11.11 14:56:10 | 000,559,104 | ---- | M] (TP AG) -- C:\Users\Paul\AppData\Roaming\hotfix.exe [2010.11.11 14:56:10 | 000,000,180 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\sdfsdfgdsfgh.bat [2010.11.11 14:40:29 | 000,016,400 | ---- | M] (Logitech, Inc.) -- C:\Windows\System32\drivers\LNonPnP.sys [2010.11.03 22:08:23 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys [2010.11.03 22:08:23 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys [2010.10.31 12:05:44 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdMtpDr_01_09_00.Wdf [2010.10.20 22:20:18 | 000,000,132 | ---- | M] () -- C:\Users\Paul\AppData\Roaming\Adobe BMP Format CS5 Prefs [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.11 18:01:08 | 000,000,120 | ---- | C] () -- C:\Users\Paul\AppData\Local\Cpupujofulohoqus.dat [2010.11.11 18:01:08 | 000,000,000 | ---- | C] () -- C:\Users\Paul\AppData\Local\Jwazeduz.bin [2010.11.11 15:02:24 | 000,000,006 | ---- | C] () -- C:\Users\Paul\AppData\Roaming\start [2010.11.11 15:01:33 | 000,000,006 | ---- | C] () -- C:\Users\Paul\AppData\Roaming\completescan [2010.11.11 14:56:51 | 000,000,010 | ---- | C] () -- C:\Users\Paul\AppData\Roaming\install [2010.11.11 14:56:10 | 000,000,180 | ---- | C] () -- C:\Users\Paul\AppData\Roaming\sdfsdfgdsfgh.bat [2010.10.31 12:05:44 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdMtpDr_01_09_00.Wdf [2010.10.20 22:20:18 | 000,000,132 | ---- | C] () -- C:\Users\Paul\AppData\Roaming\Adobe BMP Format CS5 Prefs [2009.07.13 18:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.13 18:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll < End of report > werde mich nun an die aktuellen daten machen. Bin zur zeit in den US und habe die zeitverschiebung... |
|
13.11.2010, 23:43
| #4 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? Hier die beiden files die mir RSIT ausspuckt: als erstes die info.txt: [code] info.txtRSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.08 2010-11-13 17:36:18
======Uninstall list======
Adobe AIR-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
Adobe Community Help-->msiexec /qb /x {0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}
Adobe Community Help-->MsiExec.exe /I{0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe -maintain activex
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\FlashUtil10k_Plugin.exe -maintain plugin
Adobe Media Player-->msiexec /qb /x {DE3A9DC5-9A5D-6485-9662-347162C7E4CA}
Adobe Media Player-->MsiExec.exe /I{DE3A9DC5-9A5D-6485-9662-347162C7E4CA}
Adobe Photoshop CS5-->C:\Program Files\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe --appletID="DWA_UI" --appletVersion="1.0" --mode="Uninstall" --mediaSignature="{15FEDA5F-141C-4127-8D7E-B962D1742728}"
Adobe Reader 9.4.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A94000000001}
Apple Application Support-->MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Mobile Device Support-->MsiExec.exe /I{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}
Apple Software Update-->MsiExec.exe /I{C41300B9-185D-475E-BFEC-39EF732F19B1}
ATI Catalyst Install Manager-->msiexec /q/x{BECE7A8F-E2A4-9F86-AC4E-78D26A921D89} REBOOT=ReallySuppress
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
BitTorrent-->"C:\Program Files\BitTorrent\BitTorrent.exe" /UNINSTALL
Bonjour-->MsiExec.exe /X{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}
DivX-Setup-->C:\ProgramData\DivX\Setup\DivXSetup.exe /uninstall /bundleGroupId divx.com
eReg-->MsiExec.exe /I{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}
Free YouTube to iPod Converter version 3.8-->"C:\Program Files\DVDVideoSoft\Free YouTube to iPod Converter\unins000.exe"
Google Earth-->MsiExec.exe /X{4286E640-B5FB-11DF-AC4B-005056C00008}
Guitar Pro 5.2-->"C:\Program Files\Guitar Pro 5\unins000.exe"
ICQ7.2-->"C:\Program Files\InstallShield Installation Information\{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}\ICQ7.exe" -runfromtemp -l0x0009 -removeonly
Internet-TV für Windows Media Center-->MsiExec.exe /X{9D318C86-AF4C-409F-A6AC-7183FF4CF424}
iTunes-->MsiExec.exe /I{2CE5A2E7-3437-4CE7-BCF4-85ED6EEFF9E4}
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216021FF}
Logitech SetPoint 6.15-->C:\Program Files\Common Files\LogiShrd\SP6_Uninstall\setup.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411-->MsiExec.exe /X{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft_VC80_ATL_x86-->MsiExec.exe /I{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}
Microsoft_VC80_CRT_x86-->MsiExec.exe /I{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}
Microsoft_VC80_MFC_x86-->MsiExec.exe /I{D1A19B02-817E-4296-A45B-07853FD74D57}
Microsoft_VC80_MFCLOC_x86-->MsiExec.exe /I{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}
Microsoft_VC90_ATL_x86-->MsiExec.exe /I{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}
Microsoft_VC90_CRT_x86-->MsiExec.exe /I{08D2E121-7F6A-43EB-97FD-629B44903403}
Microsoft_VC90_MFC_x86-->MsiExec.exe /I{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}
PDF Settings CS5-->MsiExec.exe /I{A78FE97A-C0C8-49CE-89D0-EDD524A17392}
QuickTime-->MsiExec.exe /I{E7004147-2CCA-431C-AA05-2AB166B9785D}
Safari-->MsiExec.exe /I{20ACB2F8-3BCA-45A8-80A2-9D3CB5C25F43}
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SpyHunter-->MsiExec.exe /X{9EFA7323-47A0-48E2-8F77-35DB5EED500A}
TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
TI Package Explorer-->MsiExec.exe /I{8A6B2F1E-6CC8-4C32-8655-8555268C5380}
Tunngle beta-->"C:\Program Files\Tunngle\unins000.exe"
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Windows Media Center Add-in for Silverlight-->MsiExec.exe /X{0EDBEB2B-7C8D-42E6-8312-0F84394A3223}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
======Hosts File======
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
======System event log======
Computer Name: WIN-0EF64RIIHNA
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Mittwoch, ?9. ?Dezember ?2009 um 03:00 auf diesem Computer installiert werden:
- Creative Technology Ltd. - media - Creative AudioPCI (ES1371,ES1373) (WDM)
Record Number: 1799
Source Name: Microsoft-Windows-WindowsUpdateClient
Time Written: 20091208194408.890625-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: WIN-0EF64RIIHNA
Event Code: 7040
Message: Der Starttyp des Diensts "Windows Search" wurde von Automatisch starten in Deaktiviert geändert.
Record Number: 1798
Source Name: Service Control Manager
Time Written: 20091208194350.546875-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 104
Message: Die Protokolldatei "Setup" wurde gelöscht.
Record Number: 1797
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.859375-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 104
Message: Die Protokolldatei "Application" wurde gelöscht.
Record Number: 1796
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.812500-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 104
Message: Die Protokolldatei "System" wurde gelöscht.
Record Number: 1795
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.812500-000
Event Type: Informationen
User:
=====Application event log=====
Computer Name: WIN-0EF64RIIHNA
Event Code: 1003
Message: Windows Search wurde gestartet.
Record Number: 370
Source Name: Microsoft-Windows-Search
Time Written: 20091208194414.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 1013
Message: Windows Search wurde normal beendet.
Record Number: 369
Source Name: Microsoft-Windows-Search
Time Written: 20091208194411.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 103
Message: Windows (320) Windows: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 368
Source Name: ESENT
Time Written: 20091208194410.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4121
Message:
Eine Hauptzusammenführung wurde für Katalog SystemIndex neu gestartet.
Record Number: 367
Source Name: Microsoft-Windows-Search
Time Written: 20091208194351.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4104
Message:
Eine Hauptzusammenführung wurde für Katalog SystemIndex wegen des Fehlers 0xc0000001 angehalten. Sie wird für einen späteren Zeitpunkt neu geplant.
Record Number: 366
Source Name: Microsoft-Windows-Search
Time Written: 20091208194351.000000-000
Event Type: Informationen
User:
=====Security event log=====
Computer Name: WIN-0EF64RIIHNA
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: WIN-0EF64RIIHNA$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x214
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 467
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194434.468750-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 466
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194413.250000-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: WIN-0EF64RIIHNA$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x214
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 465
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194413.250000-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4738
Message: Ein Benutzerkonto wurde geändert.
Antragsteller:
Sicherheits-ID: S-1-5-21-1194101188-3849239206-2520494651-500
Kontoname: Administrator
Kontodomäne: WIN-0EF64RIIHNA
Anmelde-ID: 0x18334
Zielkonto:
Sicherheits-ID: S-1-5-21-1194101188-3849239206-2520494651-500
Kontoname: Administrator
Kontodomäne: WIN-0EF64RIIHNA
Geänderte Attribute:
SAM-Kontoname: -
Anzeigename: -
Benutzerprinzipalname: -
Stammverzeichnis: -
Stammlaufwerk: -
Skriptpfad: -
Profilpfad: -
Benutzerarbeitsstationen: -
Letzte Kennwortänderung: -
Konto gültig bis: -
Primäre Gruppen-ID: -
Darf delegieren an: -
Alter Benutzerkontensteuerungswert: 0x211
Neuer Benutzerkontensteuerungswert: 0x211
Benutzerkontensteuerung: -
Benutzerparameter: -
SID-Verlauf: -
Anmeldezeiten: -
Weitere Informationen:
Berechtigungen: -
Record Number: 464
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194336.031250-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 1102
Message: Das Überwachungsprotokoll wurde gelöscht.
Subjekt:
Sicherheits-ID: S-1-5-21-1194101188-3849239206-2520494651-500
Kontoname: Administrator
Domänenname: WIN-0EF64RIIHNA
Anmelde-ID: 0x18334
Record Number: 463
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.828125-000
Event Type: Überwachung erfolgreich
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=17
"PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0301
"asl.log"=Destination=file;OnFirstLog=command,environment,parent
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
und hier dann die log.txt: [code] RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.08 (written by random/random) Run by Paul at 2010-11-13 17:35:57 Microsoft Windows 7 Ultimate System drive C: has 214 GB (70%) free of 305 GB Total RAM: 2813 MB (71% free) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 17:36:16, on 13.11.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskhost.exe C:\Windows\Explorer.EXE C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe C:\Windows\system32\taskeng.exe C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe C:\Program Files\Logitech\SetPointP\SetPoint.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\DivX\DivX Update\DivXUpdate.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE C:\Program Files\Safari\Safari.exe C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe C:\Users\Paul\AppData\Local\Temp\dwm.exe C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Paul\Downloads\RSIT.exe C:\Program Files\trend micro\Paul.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50370 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F3 - REG:win.ini: load=C:\Users\Paul\AppData\Local\Temp\dwm.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [svchost] C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [454D5A46_ 0] C:\Users\Paul\AppData\Local\Temp\enuxhq.exe O4 - HKCU\..\Run: [Ygixofafah] rundll32.exe "C:\Users\Paul\AppData\Local\idasDar.dll",Startup O4 - HKCU\..\Run: [Thezonusohom] rundll32.exe "C:\Users\Paul\AppData\Local\idojucowoziqip.dll",Startup O4 - HKCU\..\Run: [svchost] C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE O23 - Service: Adobe SwitchBoard (SwitchBoard) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files\Tunngle\TnglCtrl.exe -- End of file - 6605 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-09-22 75200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-08-11 41760] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "EvtMgr6"=C:\Program Files\Logitech\SetPointP\SetPoint.exe [2010-06-25 1311312] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2010-11-03 281768] "SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-05-14 248552] "DivXUpdate"=C:\Program Files\DivX\DivX Update\DivXUpdate.exe [2010-09-01 1164584] "QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2010-09-08 421888] "iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2010-09-24 421160] "AdobeAAMUpdater-1.0"=C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2010-03-06 500208] "SwitchBoard"=C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] "AdobeCS5ServiceManager"=C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [2010-02-22 406992] "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-09-23 35760] "Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-09-20 932288] "svchost"=C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [2010-11-13 115712] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-07-13 1173504] "AdobeBridge"= [] "454D5A46_ 0"=C:\Users\Paul\AppData\Local\Temp\enuxhq.exe [] "Ygixofafah"= C:\Users\Paul\AppData\Local\idasDar.dll,Startup [] "Thezonusohom"=C:\Users\Paul\AppData\Local\idojucowoziqip.dll [2009-07-13 204288] "svchost"=C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [2010-11-13 115712] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn] c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll [2010-05-06 64592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=credssp.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=5 "ConsentPromptBehaviorUser"=3 "EnableUIADesktopToggle"=0 "PromptOnSecureDesktop"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "AllowLegacyWebView"=1 "AllowUnhashedWebView"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\System32\Notepad.exe %1 .js - open - C:\Windows\System32\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2010-11-13 17:35:58 ----D---- C:\Program Files\trend micro 2010-11-13 17:35:57 ----D---- C:\rsit 2010-11-12 18:23:58 ----D---- C:\Users\Paul\AppData\Roaming\Malwarebytes 2010-11-12 18:23:44 ----A---- C:\Windows\system32\drivers\mbamswissarmy.sys 2010-11-12 18:23:41 ----D---- C:\ProgramData\Malwarebytes 2010-11-12 18:23:40 ----A---- C:\Windows\system32\drivers\mbam.sys 2010-11-12 18:23:39 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2010-11-11 18:23:21 ----D---- C:\Windows\Minidump 2010-11-11 18:23:16 ----A---- C:\Windows\ntbtlog.txt 2010-11-11 18:19:49 ----D---- C:\_OTL 2010-11-11 17:54:41 ----D---- C:\Windows\system32\appmgmt 2010-11-11 17:47:07 ----D---- C:\Users\Paul\AppData\Roaming\GetRightToGo 2010-11-11 16:58:19 ----D---- C:\sh4ldr 2010-11-11 16:58:19 ----D---- C:\Program Files\Enigma Software Group 2010-11-11 14:56:10 ----A---- C:\Users\Paul\AppData\Roaming\sdfsdfgdsfgh.bat 2010-11-11 14:56:10 ----A---- C:\Users\Paul\AppData\Roaming\hotfix.exe 2010-11-11 00:27:59 ----D---- C:\Program Files\TuneUpMedia 2010-10-24 14:20:16 ----SD---- C:\Users\Paul\AppData\Roaming\Virtual CD v10 2010-10-24 14:06:49 ----D---- C:\Users\Paul\AppData\Roaming\drms 2010-10-24 00:05:38 ----D---- C:\Program Files\Microsoft Silverlight ======List of files/folders modified in the last 1 months====== 2010-11-13 17:36:09 ----D---- C:\Windows\Temp 2010-11-13 17:35:58 ----RD---- C:\Program Files 2010-11-13 17:13:21 ----D---- C:\Windows\System32 2010-11-13 17:13:21 ----D---- C:\Windows\inf 2010-11-13 17:13:21 ----A---- C:\Windows\system32\PerfStringBackup.INI 2010-11-13 17:09:09 ----SD---- C:\Users\Paul\AppData\Roaming\Microsoft 2010-11-12 18:49:59 ----D---- C:\Windows 2010-11-12 18:25:18 ----SHD---- C:\System Volume Information 2010-11-12 18:23:44 ----D---- C:\Windows\system32\drivers 2010-11-12 18:23:41 ----HD---- C:\ProgramData 2010-11-11 16:58:24 ----SHD---- C:\Windows\Installer 2010-11-11 16:58:23 ----D---- C:\Windows\system32\Tasks 2010-11-11 16:57:50 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2010-11-11 16:37:09 ----D---- C:\Windows\system32\config 2010-11-11 14:56:14 ----D---- C:\Windows\system32\sysprep 2010-11-11 00:28:08 ----D---- C:\Program Files\iTunes 2010-11-05 00:24:32 ----D---- C:\Users\Paul\AppData\Roaming\Adobe 2010-11-03 06:16:42 ----D---- C:\Users\Paul\AppData\Roaming\ICQ 2010-11-02 19:43:38 ----D---- C:\Program Files\ICQ7.2 2010-10-31 12:05:39 ----D---- C:\Windows\system32\drivers\UMDF 2010-10-30 20:06:55 ----D---- C:\Windows\system32\catroot2 2010-10-29 22:16:55 ----D---- C:\ProgramData\Apple 2010-10-29 16:10:56 ----D---- C:\Users\Paul\AppData\Roaming\Skype 2010-10-27 22:55:05 ----D---- C:\Users\Paul\AppData\Roaming\Apple Computer 2010-10-27 21:10:33 ----D---- C:\Windows\rescache 2010-10-25 17:27:19 ----HD---- C:\Program Files\InstallShield Installation Information 2010-10-24 20:14:25 ----D---- C:\Windows\winsxs 2010-10-24 20:14:16 ----D---- C:\Windows\system32\de-DE 2010-10-24 14:20:32 ----D---- C:\Windows\system32\catroot 2010-10-24 14:20:31 ----D---- C:\Windows\system32\DriverStore 2010-10-24 00:05:43 ----SD---- C:\ProgramData\Microsoft ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R0 AtiPcie;AMD PCI Express (3GIO) Filter; C:\Windows\system32\DRIVERS\AtiPcie.sys [2010-03-09 14392] R0 pciide;pciide; C:\Windows\system32\DRIVERS\pciide.sys [2009-07-13 12368] R0 rdyboost;ReadyBoost; C:\Windows\System32\drivers\rdyboost.sys [2009-07-13 173648] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2010-11-03 126856] R1 CSC;@%systemroot%\system32\cscsvc.dll,-202; C:\Windows\system32\drivers\csc.sys [2009-07-13 387584] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 vwififlt;Virtual WiFi Filter Driver; C:\Windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2010-11-03 60936] R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2009-07-13 1035776] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-08-17 4994560] R3 BCM43XX;Broadcom 802.11-Netzwerkadaptertreiber; C:\Windows\system32\DRIVERS\bcmwl6.sys [2009-07-13 1131008] R3 BthEnum;Bluetooth-Auflistungsdienst; C:\Windows\system32\DRIVERS\BthEnum.sys [2009-07-13 34816] R3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2009-07-13 93696] R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2009-07-13 58880] R3 esgiguard;esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [2010-01-27 5248] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\Windows\system32\DRIVERS\LHidFilt.Sys [2010-03-18 38864] R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\Windows\system32\DRIVERS\LMouFilt.Sys [2010-03-18 37328] R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2009-07-13 129536] R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle); C:\Windows\system32\DRIVERS\tap0901t.sys [2009-09-16 27136] R3 usbfilter;AMD USB Filter Driver; C:\Windows\system32\DRIVERS\usbfilter.sys [2009-12-21 30392] S2 Parvdm;Parvdm; C:\Windows\system32\DRIVERS\parvdm.sys [2009-07-13 8704] S3 aic78xx;aic78xx; C:\Windows\system32\DRIVERS\djsvs.sys [2009-07-13 70720] S3 amdagp;AMD AGP-Bus-Filtertreiber; C:\Windows\system32\DRIVERS\amdagp.sys [2009-07-13 53312] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2009-07-13 229888] S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2009-07-13 392704] S3 E1G60;Intel(R) PRO/1000 NDIS 6-Adaptertreiber; C:\Windows\system32\DRIVERS\E1G60I32.sys [2009-07-13 118784] S3 RDPDR;Terminal Server Device Redirector Driver; C:\Windows\System32\drivers\rdpdr.sys [2009-07-13 133120] S3 s3cap;s3cap; C:\Windows\system32\DRIVERS\vms3cap.sys [2009-07-13 5632] S3 sisagp;SIS AGP-Bus-Filter; C:\Windows\system32\DRIVERS\sisagp.sys [2009-07-13 52304] S3 storvsc;storvsc; C:\Windows\system32\DRIVERS\storvsc.sys [2009-07-13 28224] S3 TIEHDUSB;TIEHDUSB; C:\Windows\system32\drivers\tiehdusb.sys [2004-02-04 49536] S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2010-04-19 41984] S3 viaagp;VIA AGP-Bus-Filter; C:\Windows\system32\DRIVERS\viaagp.sys [2009-07-13 53328] S3 ViaC7;VIA C7-Prozessortreiber; C:\Windows\system32\DRIVERS\viac7.sys [2009-07-13 52736] S3 vmbus;@%SystemRoot%\system32\vmbusres.dll,-1000; C:\Windows\system32\DRIVERS\vmbus.sys [2009-07-13 175824] S3 VMBusHID;VMBusHID; C:\Windows\system32\DRIVERS\VMBusHID.sys [2009-07-13 17920] S3 vwifimp;Microsoft Virtual WiFi Miniport Service; C:\Windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336] S3 WinUsb;WinUsb; C:\Windows\system32\DRIVERS\WinUsb.sys [2009-07-13 34944] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-08-17 176128] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2010-11-03 135336] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2010-11-03 267944] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672] R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files\Bonjour\mDNSResponder.exe [2010-07-27 345376] R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2009-07-13 20992] R2 SpyHunter 4 Service;SpyHunter 4 Service; C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [2010-09-21 327000] R2 TunngleService;TunngleService; C:\Program Files\Tunngle\TnglCtrl.exe [2010-07-06 716024] R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-24 820008] S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2009-07-13 20992] S3 LBTServ;Logitech Bluetooth Service; C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe [2010-05-06 293456] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 PeerDistSvc;@%SystemRoot%\system32\peerdistsvc.dll,-9000; C:\Windows\System32\svchost.exe [2009-07-13 20992] S3 SwitchBoard;Adobe SwitchBoard; C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2009-07-13 20992] -----------------EOF----------------- weitere daten folgen... |
|
13.11.2010, 23:46
| #5 |
| /// Helfer-Team | von SpyHunter4 und angehängten Trojanern befreien? Wie? 1. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Lade und installiere das Tool RootRepeal herunter
3. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
4. Punkte 3. und 4.?:-> http://www.trojaner-board.de/92793-v...tml#post588645 5. Lösche unter C:\rsit die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles. |
|
13.11.2010, 23:51
| #6 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? Hier die hjtscanlist.txt: Code:
ATTFilter
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
º º
hjtscanlist v2.0
º º
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
Microsoft Windows [Version 6.1.7600]
C:
13.11.2010 17:36 C:\rsit --------- 0
13.11.2010 17:35 C:\Program Files --------- 12288
C:\pagefile.sys ---------
C:\hiberfil.sys ---------
12.11.2010 18:49 C:\Windows --------- 16384
12.11.2010 18:25 C:\System Volume Information --------- 20480
12.11.2010 18:23 C:\ProgramData --------- 4096
11.11.2010 18:19 C:\_OTL --------- 0
11.11.2010 16:58 C:\sh4ldr --------- 0
05.08.2010 07:05 C:\MSOCache --------- 0
02.08.2010 07:14 C:\ATI --------- 0
02.08.2010 05:02 C:\win7.ld --------- 20
02.08.2010 05:02 C:\CBGTN --------- 271799
30.07.2010 09:30 C:\$Recycle.Bin --------- 0
30.07.2010 06:45 C:\BOOTSECT.BAK --------- 8192
30.07.2010 06:45 C:\Boot --------- 4096
30.07.2010 06:45 C:\Boot.ini.saved --------- 355
30.07.2010 06:40 C:\Windows.old --------- 0
30.07.2010 06:05 C:\Users --------- 4096
30.07.2010 06:05 C:\w7ldr --------- 171136
30.07.2010 06:04 C:\Recovery --------- 0
30.07.2010 05:18 C:\Boot.BAK --------- 211
30.07.2010 05:16 C:\NTDETECT.COM --------- 47564
30.07.2010 05:16 C:\ntldr --------- 251184
30.07.2010 04:49 C:\Programme --------- 4096
30.07.2010 04:49 C:\Dokumente und Einstellungen --------- 0
30.07.2010 04:34 C:\MSDOS.SYS --------- 0
30.07.2010 04:34 C:\IO.SYS --------- 0
13.07.2009 21:37 C:\PerfLogs --------- 0
13.07.2009 20:38 C:\bootmgr --------- 383562
10.06.2009 16:42 C:\config.sys --------- 10
10.06.2009 16:42 C:\autoexec.bat --------- 24
11.04.2008 09:11 C:\VC_RED.MSI --------- 233472
11.04.2008 09:09 C:\VC_RED.cab --------- 3797292
11.04.2008 09:09 C:\install.res.1049.dll --------- 93200
11.04.2008 09:07 C:\eula.1033.txt --------- 10058
11.04.2008 09:07 C:\eula.3082.txt --------- 12936
11.04.2008 09:07 C:\globdata.ini --------- 1110
11.04.2008 09:07 C:\eula.1031.txt --------- 15428
11.04.2008 09:07 C:\eula.1049.txt --------- 10134
11.04.2008 09:07 C:\eula.1042.txt --------- 5970
11.04.2008 09:07 C:\vcredist.bmp --------- 5686
11.04.2008 09:07 C:\install.ini --------- 843
11.04.2008 09:07 C:\eula.1041.txt --------- 5868
11.04.2008 09:07 C:\eula.1028.txt --------- 3820
11.04.2008 09:07 C:\eula.1040.txt --------- 13912
11.04.2008 09:07 C:\eula.1036.txt --------- 12246
11.04.2008 09:07 C:\eula.2052.txt --------- 3814
11.04.2008 07:03 C:\install.res.1040.dll --------- 95248
11.04.2008 07:03 C:\install.res.3082.dll --------- 96272
11.04.2008 07:03 C:\install.res.2052.dll --------- 75792
11.04.2008 07:03 C:\install.res.1042.dll --------- 79888
11.04.2008 07:03 C:\install.res.1041.dll --------- 81424
11.04.2008 07:03 C:\install.res.1036.dll --------- 97296
11.04.2008 07:03 C:\install.res.1033.dll --------- 91152
11.04.2008 07:03 C:\install.res.1031.dll --------- 96272
11.04.2008 07:03 C:\install.res.1028.dll --------- 76304
11.04.2008 07:03 C:\install.exe --------- 562688
29.08.2002 07:00 C:\bootfont.bin --------- 4952
----------------------------------------
C:\Windows
13.11.2010 17:12 C:\Windows\WindowsUpdate.log --------- 1607163
13.11.2010 17:08 C:\Windows\setupact.log --------- 54745
13.11.2010 17:08 C:\Windows\bootstat.dat --------- 67584
12.11.2010 19:28 C:\Windows\ntbtlog.txt --------- 138213184
11.11.2010 14:40 C:\Windows\LkmdfCoInst.log --------- 831
11.11.2010 14:31 C:\Windows\PFRO.log --------- 6832
25.10.2010 17:30 C:\Windows\hhdrvi.log --------- 5276
01.08.2010 04:49 C:\Windows\LDPINST.LOG --------- 6740
30.07.2010 05:48 C:\Windows\TSSysprep.log --------- 7994
30.07.2010 05:47 C:\Windows\ativpsrm.bin --------- 0
30.07.2010 05:46 C:\Windows\DtcInstall.log --------- 4822
31.10.2009 00:45 C:\Windows\explorer.exe --------- 2614272
13.07.2009 23:54 C:\Windows\win.ini --------- 403
13.07.2009 23:41 C:\Windows\WindowsShell.Manifest --------- 749
13.07.2009 23:39 C:\Windows\setuperr.log --------- 0
13.07.2009 20:16 C:\Windows\twain_32.dll --------- 51200
13.07.2009 20:14 C:\Windows\write.exe --------- 9216
13.07.2009 20:14 C:\Windows\winhlp32.exe --------- 9728
13.07.2009 20:14 C:\Windows\twunk_32.exe --------- 31232
13.07.2009 20:14 C:\Windows\regedit.exe --------- 398336
13.07.2009 20:14 C:\Windows\notepad.exe --------- 179712
13.07.2009 20:14 C:\Windows\hh.exe --------- 15360
13.07.2009 20:14 C:\Windows\HelpPane.exe --------- 497152
13.07.2009 20:14 C:\Windows\fveupdate.exe --------- 13824
13.07.2009 20:14 C:\Windows\bfsvc.exe --------- 65024
13.07.2009 17:58 C:\Windows\mib.bin --------- 43131
17.06.2009 00:53 C:\Windows\atiogl.xml --------- 18333
10.06.2009 16:46 C:\Windows\system.ini --------- 219
10.06.2009 16:42 C:\Windows\_default.pif --------- 707
10.06.2009 16:42 C:\Windows\winhelp.exe --------- 256192
10.06.2009 16:41 C:\Windows\twunk_16.exe --------- 49680
10.06.2009 16:41 C:\Windows\twain.dll --------- 94784
10.06.2009 16:34 C:\Windows\WMSysPr9.prx --------- 316640
10.06.2009 16:19 C:\Windows\msdfmap.ini --------- 1405
10.06.2009 16:14 C:\Windows\Ultimate.xml --------- 51867
10.06.2009 16:14 C:\Windows\Starter.xml --------- 48201
----------------------------------------
C:\Windows\System
13.07.2009 16:41 C:\Windows\System\OLESVR.DLL --------- 24064
13.07.2009 16:41 C:\Windows\System\WFWNET.DRV --------- 12704
13.07.2009 16:41 C:\Windows\System\COMMDLG.DLL --------- 32816
13.07.2009 16:41 C:\Windows\System\TIMER.DRV --------- 4048
13.07.2009 16:41 C:\Windows\System\MMSYSTEM.DLL --------- 68992
13.07.2009 16:41 C:\Windows\System\mmtask.tsk --------- 1152
13.07.2009 16:41 C:\Windows\System\mouse.drv --------- 2032
13.07.2009 16:41 C:\Windows\System\vga.drv --------- 2176
13.07.2009 16:41 C:\Windows\System\sound.drv --------- 1744
13.07.2009 16:41 C:\Windows\System\keyboard.drv --------- 2000
13.07.2009 16:41 C:\Windows\System\SHELL.DLL --------- 5120
13.07.2009 16:41 C:\Windows\System\system.drv --------- 3360
10.06.2009 16:42 C:\Windows\System\ver.dll --------- 9008
10.06.2009 16:42 C:\Windows\System\olecli.dll --------- 82944
10.06.2009 16:42 C:\Windows\System\lzexpand.dll --------- 9936
10.06.2009 16:25 C:\Windows\System\stdole.tlb --------- 5532
10.06.2009 16:21 C:\Windows\System\msvideo.dll --------- 126912
10.06.2009 16:21 C:\Windows\System\mciwave.drv --------- 28160
10.06.2009 16:21 C:\Windows\System\mciseq.drv --------- 25264
10.06.2009 16:21 C:\Windows\System\mciavi.drv --------- 73376
10.06.2009 16:21 C:\Windows\System\avifile.dll --------- 109456
10.06.2009 16:21 C:\Windows\System\avicap.dll --------- 69584
14.08.2003 09:11 C:\Windows\System\Ltwvc12n.dll --------- 855040
14.08.2003 09:11 C:\Windows\System\ltkrn12n.dll --------- 406016
14.08.2003 09:11 C:\Windows\System\ltfil12n.DLL --------- 146944
14.08.2003 09:11 C:\Windows\System\LTDIS12n.dll --------- 278528
14.08.2003 09:10 C:\Windows\System\lftif12n.dll --------- 190464
14.08.2003 09:10 C:\Windows\System\lfpcx12n.dll --------- 33280
14.08.2003 09:10 C:\Windows\System\lffax12n.dll --------- 78336
14.08.2003 09:10 C:\Windows\System\LFCMP12n.DLL --------- 313856
14.08.2003 09:10 C:\Windows\System\lfjbg12n.dll --------- 109568
14.08.2003 09:10 C:\Windows\System\lflmb12n.dll --------- 32256
14.08.2003 09:10 C:\Windows\System\lfbmp12n.dll --------- 37376
----------------------------------------
C:\Windows\System32
13.11.2010 17:13 C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 --------- 16624
13.11.2010 17:13 C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 --------- 16624
13.11.2010 17:13 C:\Windows\system32\perfh009.dat --------- 607190
13.11.2010 17:13 C:\Windows\system32\perfc009.dat --------- 103568
13.11.2010 17:13 C:\Windows\system32\perfh007.dat --------- 643866
13.11.2010 17:13 C:\Windows\system32\perfc007.dat --------- 126394
13.11.2010 17:13 C:\Windows\system32\PerfStringBackup.INI --------- 1472002
12.11.2010 19:42 C:\Windows\system32\Access.dat --------- 0
12.11.2010 18:23 C:\Windows\system32\drivers --------- 65536
11.11.2010 17:54 C:\Windows\system32\appmgmt --------- 0
11.11.2010 16:58 C:\Windows\system32\Tasks --------- 4096
11.11.2010 16:37 C:\Windows\system32\config --------- 16384
11.11.2010 14:56 C:\Windows\system32\sysprep --------- 4096
30.10.2010 20:06 C:\Windows\system32\catroot2 --------- 4096
24.10.2010 20:14 C:\Windows\system32\de-DE --------- 393216
24.10.2010 14:20 C:\Windows\system32\catroot --------- 4096
24.10.2010 14:20 C:\Windows\system32\DriverStore --------- 4096
09.10.2010 16:08 C:\Windows\system32\FNTCACHE.DAT --------- 3669632
08.09.2010 10:17 C:\Windows\system32\QuickTimeVR.qtx --------- 94208
08.09.2010 10:17 C:\Windows\system32\QuickTime.qts --------- 69632
31.08.2010 10:55 C:\Windows\system32\wdi --------- 4096
13.08.2010 14:04 C:\Windows\system32\NDF --------- 0
11.08.2010 16:37 C:\Windows\system32\javaws.exe --------- 153376
11.08.2010 16:37 C:\Windows\system32\javaw.exe --------- 145184
11.08.2010 16:37 C:\Windows\system32\java.exe --------- 145184
11.08.2010 16:37 C:\Windows\system32\deployJava1.dll --------- 423656
02.08.2010 09:17 C:\Windows\system32\LogFiles --------- 4096
02.08.2010 07:15 C:\Windows\system32\DRVSTORE --------- 0
30.07.2010 15:12 C:\Windows\system32\Macromed --------- 0
30.07.2010 13:25 C:\Windows\system32\migration --------- 0
30.07.2010 06:42 C:\Windows\system32\restore --------- 0
30.07.2010 05:48 C:\Windows\system32\license.rtf --------- 57050
27.07.2010 17:44 C:\Windows\system32\jdns_sd.dll --------- 75040
27.07.2010 17:44 C:\Windows\system32\dnssd.dll --------- 91424
27.07.2010 17:44 C:\Windows\system32\dnssdX.dll --------- 197920
27.07.2010 17:44 C:\Windows\system32\dns-sd.exe --------- 107808
27.07.2010 09:03 C:\Windows\system32\shell32.dll --------- 12867584
02.07.2010 05:39 C:\Windows\system32\MRT.exe --------- 34045896
01.06.2010 21:55 C:\Windows\system32\xactengine3_7.dll --------- 239960
01.06.2010 21:55 C:\Windows\system32\XAudio2_7.dll --------- 527192
01.06.2010 21:55 C:\Windows\system32\XAPOFX1_5.dll --------- 74072
27.05.2010 02:24 C:\Windows\system32\atmlib.dll --------- 34304
26.05.2010 22:49 C:\Windows\system32\atmfd.dll --------- 293888
26.05.2010 04:41 C:\Windows\system32\d3dx11_43.dll --------- 248672
26.05.2010 04:41 C:\Windows\system32\d3dcsx_43.dll --------- 1868128
26.05.2010 04:41 C:\Windows\system32\D3DX9_43.dll --------- 1998168
26.05.2010 04:41 C:\Windows\system32\D3DCompiler_43.dll --------- 2106216
26.05.2010 04:41 C:\Windows\system32\d3dx10_43.dll --------- 470880
21.05.2010 13:14 C:\Windows\system32\MpSigStub.exe --------- 221568
21.05.2010 00:18 C:\Windows\system32\wininet.dll --------- 977920
21.05.2010 00:14 C:\Windows\system32\jsproxy.dll --------- 48128
06.05.2010 07:42 C:\Windows\system32\urlmon.dll --------- 1225216
06.05.2010 07:41 C:\Windows\system32\mstime.dll --------- 606208
06.05.2010 07:41 C:\Windows\system32\mshtml.dll --------- 5970944
06.05.2010 07:41 C:\Windows\system32\msfeedsbs.dll --------- 64512
06.05.2010 07:41 C:\Windows\system32\ieframe.dll --------- 10984448
06.05.2010 07:41 C:\Windows\system32\iedkcs32.dll --------- 381440
01.05.2010 09:49 C:\Windows\system32\win32k.sys --------- 2326528
28.04.2010 17:29 C:\Windows\system32\LMouFiltCoInst.dll --------- 53328
26.04.2010 17:04 C:\Windows\system32\DivXControlPanelApplet.cpl --------- 353592
23.04.2010 02:13 C:\Windows\system32\tzres.dll --------- 2048
19.04.2010 13:47 C:\Windows\system32\usbaaplrc.dll --------- 3062048
18.03.2010 04:02 C:\Windows\system32\LkmdfCoInst.dll --------- 1581136
10.03.2010 14:29 C:\Windows\system32\dpl100.dll --------- 94208
08.03.2010 16:33 C:\Windows\system32\vbscript.dll --------- 427520
05.03.2010 09:13 C:\Windows\system32\msjava.dll --------- 947472
05.03.2010 02:42 C:\Windows\system32\asycfilt.dll --------- 67584
04.03.2010 02:33 C:\Windows\system32\inetcomm.dll --------- 740864
27.02.2010 07:07 C:\Windows\system32\ntkrnlpa.exe --------- 3954568
27.02.2010 07:07 C:\Windows\system32\ntoskrnl.exe --------- 3899280
19.02.2010 14:27 C:\Windows\system32\DivX.dll --------- 720384
19.02.2010 14:27 C:\Windows\system32\divx_xx07.dll --------- 856064
19.02.2010 14:27 C:\Windows\system32\divx_xx0c.dll --------- 856064
19.02.2010 14:27 C:\Windows\system32\divx_xx16.dll --------- 843776
19.02.2010 14:27 C:\Windows\system32\divx_xx11.dll --------- 839680
19.02.2010 14:27 C:\Windows\system32\divx_xx0a.dll --------- 847872
11.02.2010 02:10 C:\Windows\system32\browserchoice.exe --------- 293376
04.02.2010 03:01 C:\Windows\system32\X3DAudio1_7.dll --------- 22360
04.02.2010 03:01 C:\Windows\system32\xactengine3_6.dll --------- 238936
04.02.2010 03:01 C:\Windows\system32\XAudio2_6.dll --------- 528216
04.02.2010 03:01 C:\Windows\system32\XAPOFX1_4.dll --------- 74072
09.01.2010 01:52 C:\Windows\system32\cabview.dll --------- 132608
29.12.2009 01:55 C:\Windows\system32\wintrust.dll --------- 172032
19.12.2009 04:02 C:\Windows\system32\tsbyuv.dll --------- 12288
19.12.2009 04:02 C:\Windows\system32\quartz.dll --------- 1328640
19.12.2009 04:02 C:\Windows\system32\msyuv.dll --------- 22016
19.12.2009 04:02 C:\Windows\system32\msvidc32.dll --------- 31744
19.12.2009 04:02 C:\Windows\system32\msrle32.dll --------- 13312
19.12.2009 04:02 C:\Windows\system32\mciavi32.dll --------- 84480
19.12.2009 04:02 C:\Windows\system32\iyuv_32.dll --------- 50176
19.12.2009 04:02 C:\Windows\system32\avifil32.dll --------- 91648
11.12.2009 02:38 C:\Windows\system32\lsasrv.dll --------- 1037312
08.12.2009 06:33 C:\Windows\system32\kernel32.dll --------- 857088
08.12.2009 06:32 C:\Windows\system32\apphelp.dll --------- 292864
02.12.2009 03:17 C:\Windows\system32\jscript.dll --------- 716800
25.11.2009 05:47 C:\Windows\system32\netfxperf.dll --------- 49472
25.11.2009 05:47 C:\Windows\system32\PresentationHostProxy.dll --------- 99176
25.11.2009 05:47 C:\Windows\system32\dfshim.dll --------- 1130824
25.11.2009 05:47 C:\Windows\system32\mscoree.dll --------- 297808
25.11.2009 05:47 C:\Windows\system32\PresentationHost.exe --------- 295264
----------------------------------------
C:\Windows\Prefetch
----------------------------------------
C:\Windows\Tasks
13.11.2010 17:08 C:\Windows\Tasks\SA.DAT --------- 6
11.11.2010 18:19 C:\Windows\Tasks\SCHEDLGU.TXT --------- 32640
----------------------------------------
C:\Windows\Temp
----------------------------------------
C:\Users\Paul\AppData\Local\Temp
13.11.2010 17:37 C:\Users\Paul\AppData\Local\Temp\dwm.exe --------- 123904
13.11.2010 17:13 C:\Users\Paul\AppData\Local\Temp\jusched.log --------- 1746
13.11.2010 17:08 C:\Users\Paul\AppData\Local\Temp\.bk --------- 24
13.11.2010 17:08 C:\Users\Paul\AppData\Local\Temp\div6344.tmp --------- 0
13.11.2010 17:08 C:\Users\Paul\AppData\Local\Temp\WPDNSE --------- 0
13.11.2010 17:08 C:\Users\Paul\AppData\Local\Temp\AdobeARM.log --------- 3246
12.11.2010 19:30 C:\Users\Paul\AppData\Local\Temp\divC14B.tmp --------- 0
12.11.2010 18:50 C:\Users\Paul\AppData\Local\Temp\Low --------- 0
12.11.2010 18:21 C:\Users\Paul\AppData\Local\Temp\f554iv87.tmp --------- 0
13.11.2010 17:37 C:\Users\Paul\AppData\Local\Temp\PDApp.log --------- 3512
12.11.2010 17:46 C:\Users\Paul\AppData\Local\Temp\div7A1E.tmp --------- 0
11.11.2010 18:26 C:\Users\Paul\AppData\Local\Temp\LuUpdater.log --------- 0
11.11.2010 18:25 C:\Users\Paul\AppData\Local\Temp\divAB3C.tmp --------- 0
11.11.2010 18:23 C:\Users\Paul\AppData\Local\Temp\FXSAPIDebugLogFile.txt --------- 0
----------------------------------------
C:\Program Files
13.11.2010 17:36 C:\Program Files\trend micro --------- 0
12.11.2010 18:23 C:\Program Files\Malwarebytes' Anti-Malware --------- 4096
11.11.2010 16:58 C:\Program Files\Enigma Software Group --------- 0
11.11.2010 00:37 C:\Program Files\TuneUpMedia --------- 0
11.11.2010 00:28 C:\Program Files\iTunes --------- 8192
02.11.2010 19:43 C:\Program Files\ICQ7.2 --------- 16384
25.10.2010 17:27 C:\Program Files\InstallShield Installation Information --------- 0
24.10.2010 00:05 C:\Program Files\Microsoft Silverlight --------- 4096
09.10.2010 12:51 C:\Program Files\TI Education --------- 4096
09.10.2010 12:34 C:\Program Files\Common Files --------- 4096
08.10.2010 09:02 C:\Program Files\Adobe --------- 4096
06.10.2010 20:22 C:\Program Files\Adobe Media Player --------- 4096
06.10.2010 19:36 C:\Program Files\BitTorrent --------- 0
25.09.2010 17:40 C:\Program Files\iPod --------- 0
25.09.2010 17:38 C:\Program Files\Bonjour --------- 4096
25.09.2010 17:02 C:\Program Files\DVDVideoSoft --------- 0
17.09.2010 18:17 C:\Program Files\QuickTime --------- 4096
10.09.2010 16:53 C:\Program Files\Safari --------- 4096
10.09.2010 16:45 C:\Program Files\Google --------- 0
09.09.2010 17:10 C:\Program Files\DivX --------- 4096
11.08.2010 16:58 C:\Program Files\Audacity 1.3 Beta (Unicode) --------- 0
11.08.2010 16:37 C:\Program Files\Java --------- 0
05.08.2010 07:09 C:\Program Files\Microsoft Works --------- 0
05.08.2010 07:09 C:\Program Files\Microsoft Office --------- 4096
05.08.2010 07:08 C:\Program Files\Microsoft.NET --------- 0
02.08.2010 14:04 C:\Program Files\Guitar Pro 5 --------- 4096
02.08.2010 10:08 C:\Program Files\Tunngle --------- 4096
02.08.2010 07:15 C:\Program Files\ATI Technologies --------- 0
02.08.2010 07:15 C:\Program Files\ATI --------- 0
02.08.2010 05:16 C:\Program Files\Avira --------- 0
02.08.2010 05:00 C:\Program Files\WinRAR --------- 4096
01.08.2010 04:49 C:\Program Files\Logitech --------- 0
30.07.2010 13:25 C:\Program Files\Windows Mail --------- 4096
30.07.2010 13:25 C:\Program Files\Internet Explorer --------- 4096
30.07.2010 09:15 C:\Program Files\Skype --------- 0
30.07.2010 06:49 C:\Program Files\Apple Software Update --------- 4096
30.07.2010 06:04 C:\Program Files\Windows NT --------- 4096
30.07.2010 06:04 C:\Program Files\Gemeinsame Dateien --------- 0
10.11.2009 13:49 C:\Program Files\Windows Media Player --------- 4096
14.07.2009 03:56 C:\Program Files\DVD Maker --------- 4096
14.07.2009 03:56 C:\Program Files\Windows Journal --------- 4096
14.07.2009 03:47 C:\Program Files\Windows Sidebar --------- 4096
14.07.2009 03:47 C:\Program Files\Windows Photo Viewer --------- 4096
14.07.2009 03:47 C:\Program Files\Windows Defender --------- 4096
13.07.2009 23:53 C:\Program Files\Uninstall Information --------- 0
13.07.2009 23:52 C:\Program Files\Windows Portable Devices --------- 0
13.07.2009 23:52 C:\Program Files\Reference Assemblies --------- 0
13.07.2009 23:52 C:\Program Files\MSBuild --------- 0
13.07.2009 23:41 C:\Program Files\desktop.ini --------- 174
----------------------------------------
C:\ProgramData\..
Public
Paul
All Users
Default User
Default
desktop.ini
----------------------------------------
C:\Windows\system32\drivers\etc\hosts
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 adobe.activate.com
127.0.0.1 adobeereg.com
127.0.0.1 www.adobeereg.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 125.252.224.90
127.0.0.1 125.252.224.91
127.0.0.1 hl2rcv.adobe.com
----------------------------------------
Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ======== ================ =========== ===============
System Idle Process 0 Services 0 24 K
System 4 Services 0 608 K
smss.exe 268 Services 0 752 K
csrss.exe 348 Services 0 3.256 K
wininit.exe 428 Services 0 3.392 K
csrss.exe 440 Console 1 5.308 K
services.exe 476 Services 0 7.248 K
lsass.exe 500 Services 0 8.652 K
lsm.exe 508 Services 0 3.092 K
svchost.exe 608 Services 0 6.840 K
winlogon.exe 676 Console 1 4.760 K
SH4SER~1.EXE 736 Services 0 2.504 K
svchost.exe 772 Services 0 5.536 K
atiesrxx.exe 816 Services 0 2.968 K
svchost.exe 908 Services 0 17.964 K
svchost.exe 944 Services 0 71.628 K
svchost.exe 972 Services 0 28.376 K
svchost.exe 1144 Services 0 11.992 K
atieclxx.exe 1184 Console 1 4.272 K
svchost.exe 1332 Services 0 11.388 K
spoolsv.exe 1456 Services 0 11.564 K
sched.exe 1488 Services 0 1.740 K
svchost.exe 1508 Services 0 11.608 K
dwm.exe 1712 Console 1 29.852 K
taskhost.exe 1724 Console 1 8.584 K
explorer.exe 1752 Console 1 67.892 K
shell.exe 1764 Console 1 8.588 K
taskeng.exe 1916 Console 1 4.096 K
avguard.exe 396 Services 0 15.068 K
AppleMobileDeviceService. 468 Services 0 3.628 K
mDNSResponder.exe 444 Services 0 4.936 K
SpyHunter4.exe 1228 Console 1 8.904 K
avshadow.exe 1672 Services 0 3.336 K
conhost.exe 1612 Services 0 2.072 K
svchost.exe 1748 Services 0 6.268 K
SetPoint.exe 2112 Console 1 13.660 K
avgnt.exe 2120 Console 1 2.620 K
jusched.exe 2128 Console 1 3.468 K
TnglCtrl.exe 2136 Services 0 6.684 K
DivXUpdate.exe 2152 Console 1 13.956 K
iTunesHelper.exe 2168 Console 1 11.600 K
sidebar.exe 2348 Console 1 26.496 K
rundll32.exe 2368 Console 1 5.488 K
KHALMNPR.exe 2568 Console 1 8.056 K
SearchIndexer.exe 3420 Services 0 22.784 K
Safari.exe 3444 Console 1 85.084 K
svchost.exe 3552 Services 0 3.768 K
iPodService.exe 3672 Services 0 5.000 K
WUDFHost.exe 3960 Services 0 4.960 K
wmpnetwk.exe 1556 Services 0 8.716 K
svchost.exe 2180 Services 0 11.224 K
svchost.exe 3440 Services 0 11.100 K
svchost.exe 2208 Services 0 22.960 K
AAM Updates Notifier.exe 3956 Console 1 724 K
svchost.exe 588 Console 1 3.792 K
dwm.exe 148 Console 1 4.612 K
notepad.exe 2624 Console 1 6.720 K
audiodg.exe 5988 Services 0 13.800 K
SearchProtocolHost.exe 308 Services 0 6.748 K
SearchFilterHost.exe 2256 Services 0 4.364 K
cmd.exe 5228 Console 1 3.184 K
conhost.exe 3196 Console 1 5.740 K
dllhost.exe 5788 Console 1 5.020 K
tasklist.exe 872 Console 1 4.136 K
WmiPrvSE.exe 4124 Services 0 4.836 K
***** Ende des Scans 13.11.2010 um 17:48:28,00 ***
|
|
14.11.2010, 00:03
| #7 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? Hier wie erwünscht die liste von CCleaner mit meinen intallierten programmen. die datei heißt install.txt Code:
ATTFilter
Adobe AIR Adobe Systems Inc. 06.10.2010 1.5.3.9120
Adobe Community Help Adobe Systems Incorporated 06.10.2010 3.0.0.400
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 30.07.2010 6,00MB 10.1.53.64
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 25.09.2010 6,00MB 10.1.85.3
Adobe Media Player Adobe Systems Incorporated 06.10.2010 1.8
Adobe Photoshop CS5 Adobe Systems Incorporated 06.10.2010 1.554MB 12.0
Adobe Reader 9.4.0 - Deutsch Adobe Systems Incorporated 08.10.2010 164,0MB 9.4.0
Apple Application Support Apple Inc. 03.09.2010 42,8MB 1.3.2
Apple Mobile Device Support Apple Inc. 03.09.2010 20,1MB 3.2.0.47
Apple Software Update Apple Inc. 30.07.2010 2,26MB 2.1.2.120
ATI Catalyst Install Manager ATI Technologies, Inc. 02.08.2010 16,5MB 3.0.782.0
Avira AntiVir Personal - Free Antivirus Avira GmbH 03.11.2010 61,8MB 10.0.0.592
BitTorrent 06.10.2010 7.1.0
Bonjour Apple Inc. 25.09.2010 1,10MB 2.0.3.0
CCleaner Piriform 13.11.2010 3.00
DivX-Setup DivX, Inc. 09.09.2010 2.0.4.2
Free YouTube to iPod Converter version 3.8 DVDVideoSoft Limited. 25.09.2010 26,7MB
Google Earth Google 10.09.2010 85,3MB 5.2.1.1588
Guitar Pro 5.2 Arobas Music 02.08.2010
ICQ7.2 ICQ 30.07.2010 7.2
Internet-TV für Windows Media Center Microsoft Corporation 27.08.2010 13,7MB 4.2.2.0
iTunes Apple Inc. 25.09.2010 138,8MB 10.0.1.22
Java(TM) 6 Update 21 Oracle 11.08.2010 94,9MB 6.0.210
Logitech SetPoint 6.15 Logitech 01.08.2010 39,1MB 6.15.25
Malwarebytes' Anti-Malware Malwarebytes Corporation 12.11.2010 8,51MB
Microsoft Office Home and Student 2007 Microsoft Corporation 05.08.2010 12.0.4518.1014
Microsoft Silverlight Microsoft Corporation 24.10.2010 20,5MB 4.0.50917.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411 Microsoft Corporation 24.10.2010 1,46MB 9.0.30411
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 01.08.2010 0,58MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 02.08.2010 0,58MB 9.0.30729.4148
QuickTime Apple Inc. 17.09.2010 73,7MB 7.68.75.0
Safari Apple Inc. 10.09.2010 41,3MB 5.33.18.5
Skype™ 4.2 Skype Technologies S.A. 06.10.2010 25,6MB 4.2.187
SpyHunter Enigma Software Group USA, LLC 11.11.2010 19,6MB 4.3.21.3201
TI Connect 1.6 Texas Instruments Inc 09.10.2010 28,6MB 1.6
TI Package Explorer Texas Instruments Incorporated 09.10.2010 73,9MB 1.1.324
Tunngle beta Tunngle.net GmbH 02.08.2010
Uninstall 1.0.0.1 25.09.2010 10,6MB
Windows Media Center Add-in for Silverlight Microsoft Corporation 27.08.2010 0,24MB 4.7.3.0
WinRAR 02.08.2010
Riesigen Dank dafür, dass sich jemand um mich kümmert!!! Danke für die schnelle Antwort. Bin schon auf morgen gespannt und hoffe das vlt. jemand ne lösung für mich und mein Problem hat. Gute Nacht dann noch...  |
|
14.11.2010, 03:28
| #8 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? #1 Hier die Antwort zu nummer 1... über das Rootkit/die arbeit mit gmer.exe [code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-13 21:21:12
Windows 6.1.7600 Harddisk0\DR0 -> \Device\00000065 WDC_WD32 rev.12.0
Running: 1eqjdcdl.exe; Driver: C:\Users\Paul\AppData\Local\Temp\kxldapod.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys ZwCreateSection [0xA93E3700]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82A58599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82A7CF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 340 82A84850 4 Bytes [00, 37, 3E, A9]
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x90208000, 0x2D5378, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Tunngle\TnglCtrl.exe[2064] ntdll.dll!DbgBreakPoint 77033540 1 Byte [90]
? C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] number of sections mismatch; time/date stamp mismatch; unknown module: OLEAUT32.dll
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\System32\rundll32.exe[2380] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [750A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2380] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [750A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2380] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [750A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2380] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [750A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2380] @ C:\Windows\System32\SECUR32.DLL [KERNEL32.dll!GetProcAddress] [750A5E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [COMCTL32.dll!PropertySheetW] FF8445E8
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ole32.dll!CoUninitialize] 8B00428E
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ole32.dll!CoInitialize] 8438E8F0
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [CRYPT32.dll!CryptMsgGetParam] F685F88B
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [CRYPT32.dll!CertEnumSystemStoreLocation] FF852C74
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [CRYPT32.dll!CryptMsgClose] D6FF2874
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [USER32.dll!LoadStringW] 51F84D8D
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [USER32.dll!LoadIconW] 4D8D0C6A
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [USER32.dll!MessageBoxW] 016A51EC
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [USER32.dll!PostMessageW] 85D7FF50
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 7501F445
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!TerminateProcess] 104D8109
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!CancelWaitableTimer] 00200000
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetLastError] 3CA139EB
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetModuleHandleA] 3B00428E
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetTickCount] 503074C3
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!LocalFree] FF83F5E8
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetStartupInfoA] C08559FF
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!ProcessIdToSessionId] D0FF2574
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!LocalAlloc] 85FC4589
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] A11C74C0
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] [00428E40] C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!ExitProcess] 1374C33B
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 83D8E850
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!InterlockedExchange] 8559FFFF
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetCurrentProcess] FF0874C0
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetCurrentThreadId] D0FFFC75
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!CloseHandle] FFFC4589
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 428E3835
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 83C0E800
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetCurrentThread] 8559FFFF
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!GetCommandLineW] FF1074C0
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [KERNEL32.dll!Sleep] [75FF1075] C:\Windows\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [WINSPOOL.DRV!OpenPrinterA] FFFC75FF
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [WINSPOOL.DRV!DocumentPropertiesA] 3302EBD0
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [WINSPOOL.DRV!ClosePrinter] 5B5E5FC0
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!GetSidSubAuthority] 8BEC8B55
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!IsValidSid] 3356084D
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!CopySid] 7CCE3BF6
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!RegEnumValueW] 02F9831E
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!GetSidSubAuthorityCount] F9830C7E
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!GetLengthSid] A1147503
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!RegEnumKeyExW] [004284D0] C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!RegCloseKey] D0A128EB
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!GetTokenInformation] 89004284
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!OpenThreadToken] 4284D00D
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] E81BEB00
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!ConvertSidToStringSidW] FFFF8A17
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!OpenProcessToken] 56565656
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!GetSidIdentifierAuthority] 1600C756
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [ADVAPI32.dll!ConvertStringSidToSidW] E8000000
IAT C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe[4040] @ C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe [SHELL32.dll!CommandLineToArgvW] 8314C483
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\0000004e halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
---- Threads - GMER 1.0.15 ----
Thread System [4:400] 90D2AE16
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0027138b1b63
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0027138b1b63@18e7f486946e 0x12 0x97 0x4B 0x84 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0027138b1b63 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0027138b1b63@18e7f486946e 0x12 0x97 0x4B 0x84 ...
---- EOF - GMER 1.0.15 ----
#2 Für RootRepeal.exe bekomme ich folgende Fehlermeldung wenn ich es starte: Code:
ATTFilter 21:33:31: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000dc)
21:33:31: DeviceIoControl Error! Error Code = 0x1e7
21:33:31: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000dc)
Code:
ATTFilter 21:38:50: DeviceIoControl Error! Error Code = 0x0
21:38:50: DeviceIoControl Error! Error Code = 0x0
21:38:50: DeviceIoControl Error! Error Code = 0x0
21:38:50: DeviceIoControl Error! Error Code = 0x0
21:38:50: DeviceIoControl Error! Error Code = 0x0
21:38:50: DeviceIoControl Error! Error Code = 0x0
 wenn mir mit diesem problem geholfen wurde werde ich erst mal in ein vernünftiges antiviren programm investieren.  War noch am arbeiten für Punkte "Punkte 3. und 4.?:->" Die Zeit sagt das ich das 7min oder so später gepstet habe. Ich wies es ist schon spät. Kein Ding. Ich kann leider ncih ruhig schlafen mit dem gedanken das mich irgendjemand auspioniert, weil nicht clever genug bin mich dagegen zu schützen... Geändert von pyd94 (14.11.2010 um 03:52 Uhr) |
|
15.11.2010, 08:49
| #9 |
| /// Helfer-Team | von SpyHunter4 und angehängten Trojanern befreien? Wie? ab Punkt 3. weiter:-> http://www.trojaner-board.de/92793-v...tml#post588873 |
|
16.11.2010, 01:23
| #10 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? Hier das ergebnis von der MBAM Prüfung. Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5121
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
15.11.2010 16:57:03
mbam-log-2010-11-15 (16-57-03).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 243166
Laufzeit: 58 Minute(n), 52 Sekunde(n)
Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8
Infizierte Speicherprozesse:
C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe (Spyware.Passwords.XGen) -> No action taken.
C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.
C:\Users\Paul\AppData\Local\Temp\dwm.exe (Trojan.Agent) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Spyware.Passwords.XGen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Spyware.Passwords.XGen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Data: c:\users\paul\appdata\local\temp\dwm.exe -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\Paul\AppData\Roaming\Microsoft\svchost.exe (Spyware.Passwords.XGen) -> No action taken.
C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp (Spyware.Passwords.XGen) -> No action taken.
C:\Users\Paul\AppData\Roaming\Microsoft\stor.cfg (Malware.Trace) -> No action taken.
C:\Users\Paul\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.
C:\Users\Paul\AppData\Local\Temp\dwm.exe (Trojan.Agent) -> No action taken.
C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> No action taken.
C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> No action taken.
C:\Users\Paul\AppData\Roaming\sdfsdfgdsfgh.bat (Malware.Trace) -> No action taken.
|
|
16.11.2010, 06:26
| #11 |
| /// Helfer-Team | von SpyHunter4 und angehängten Trojanern befreien? Wie? Lösche unter C:\rsit die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles. |
|
16.11.2010, 15:03
| #12 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? Hier habe ich die neue log.txt: [code] RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.08 (written by random/random) Run by *** at 2010-11-16 08:46:30 Microsoft Windows 7 Ultimate System drive C: has 216 GB (71%) free of 305 GB Total RAM: 2813 MB (72% free) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 08:46:44, on 16.11.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskhost.exe C:\Program Files\Logitech\SetPointP\SetPoint.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\DivX\DivX Update\DivXUpdate.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE C:\Program Files\Safari\Safari.exe C:\Users\***\Desktop\RSIT.exe C:\Program Files\trend micro\Paul.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50370 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [454D5A46_ 0] C:\Users\Paul\AppData\Local\Temp\enuxhq.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE O23 - Service: Adobe SwitchBoard (SwitchBoard) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files\Tunngle\TnglCtrl.exe -- End of file - 5827 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-09-22 75200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-08-11 41760] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "EvtMgr6"=C:\Program Files\Logitech\SetPointP\SetPoint.exe [2010-06-25 1311312] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2010-11-03 281768] "SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-05-14 248552] "DivXUpdate"=C:\Program Files\DivX\DivX Update\DivXUpdate.exe [2010-09-01 1164584] "QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2010-09-08 421888] "iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2010-09-24 421160] "AdobeAAMUpdater-1.0"=C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2010-03-06 500208] "SwitchBoard"=C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] "AdobeCS5ServiceManager"=C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [2010-02-22 406992] "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-09-23 35760] "Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-09-20 932288] " Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2010-04-29 1090952] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "AdobeBridge"= [] "454D5A46_ 0"=C:\Users\Paul\AppData\Local\Temp\enuxhq.exe [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn] c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll [2010-05-06 64592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=credssp.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=5 "ConsentPromptBehaviorUser"=3 "EnableUIADesktopToggle"=0 "PromptOnSecureDesktop"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "AllowLegacyWebView"=1 "AllowUnhashedWebView"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\System32\Notepad.exe %1 .js - open - C:\Windows\System32\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2010-11-13 17:56:39 ----D---- C:\Program Files\CCleaner 2010-11-13 17:35:58 ----D---- C:\Program Files\trend micro 2010-11-13 17:35:57 ----D---- C:\rsit 2010-11-12 18:23:58 ----D---- C:\Users\***\AppData\Roaming\Malwarebytes 2010-11-12 18:23:44 ----A---- C:\Windows\system32\drivers\mbamswissarmy.sys 2010-11-12 18:23:41 ----D---- C:\ProgramData\Malwarebytes 2010-11-12 18:23:40 ----A---- C:\Windows\system32\drivers\mbam.sys 2010-11-12 18:23:39 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2010-11-11 18:23:21 ----D---- C:\Windows\Minidump 2010-11-11 18:23:16 ----A---- C:\Windows\ntbtlog.txt 2010-11-11 18:19:49 ----D---- C:\_OTL 2010-11-11 17:54:41 ----D---- C:\Windows\system32\appmgmt 2010-11-11 17:47:07 ----D---- C:\Users\Paul\AppData\Roaming\GetRightToGo 2010-11-11 16:58:19 ----D---- C:\sh4ldr 2010-11-11 16:58:19 ----D---- C:\Program Files\Enigma Software Group 2010-11-11 00:27:59 ----D---- C:\Program Files\TuneUpMedia 2010-10-24 14:20:16 ----SD---- C:\Users\***l\AppData\Roaming\Virtual CD v10 2010-10-24 14:06:49 ----D---- C:\Users\***\AppData\Roaming\drms 2010-10-24 00:05:38 ----D---- C:\Program Files\Microsoft Silverlight ======List of files/folders modified in the last 1 months====== 2010-11-16 08:45:13 ----D---- C:\Windows\Temp 2010-11-15 21:13:26 ----D---- C:\Windows\System32 2010-11-15 21:13:26 ----D---- C:\Windows\inf 2010-11-15 21:13:26 ----A---- C:\Windows\system32\PerfStringBackup.INI 2010-11-15 16:59:26 ----D---- C:\Windows\Tasks 2010-11-15 16:59:26 ----D---- C:\Windows\system32\drivers 2010-11-15 16:57:56 ----SD---- C:\Users\***\AppData\Roaming\Microsoft 2010-11-15 16:29:45 ----SHD---- C:\System Volume Information 2010-11-13 17:56:39 ----RD---- C:\Program Files 2010-11-12 18:49:59 ----D---- C:\Windows 2010-11-12 18:23:41 ----HD---- C:\ProgramData 2010-11-11 16:58:24 ----SHD---- C:\Windows\Installer 2010-11-11 16:58:23 ----D---- C:\Windows\system32\Tasks 2010-11-11 16:57:50 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2010-11-11 16:37:09 ----D---- C:\Windows\system32\config 2010-11-11 14:56:14 ----D---- C:\Windows\system32\sysprep 2010-11-11 00:28:08 ----D---- C:\Program Files\iTunes 2010-11-05 00:24:32 ----D---- C:\Users\***\AppData\Roaming\Adobe 2010-11-03 06:16:42 ----D---- C:\Users\***\AppData\Roaming\ICQ 2010-11-02 19:43:38 ----D---- C:\Program Files\ICQ7.2 2010-10-31 12:05:39 ----D---- C:\Windows\system32\drivers\UMDF 2010-10-30 20:06:55 ----D---- C:\Windows\system32\catroot2 2010-10-29 22:16:55 ----D---- C:\ProgramData\Apple 2010-10-29 16:10:56 ----D---- C:\Users\***\AppData\Roaming\Skype 2010-10-27 22:55:05 ----D---- C:\Users\***\AppData\Roaming\Apple Computer 2010-10-27 21:10:33 ----D---- C:\Windows\rescache 2010-10-25 17:27:19 ----HD---- C:\Program Files\InstallShield Installation Information 2010-10-24 20:14:25 ----D---- C:\Windows\winsxs 2010-10-24 20:14:16 ----D---- C:\Windows\system32\de-DE 2010-10-24 14:20:32 ----D---- C:\Windows\system32\catroot 2010-10-24 14:20:31 ----D---- C:\Windows\system32\DriverStore 2010-10-24 00:05:43 ----SD---- C:\ProgramData\Microsoft 2010-10-19 10:41:44 ----N---- C:\Windows\system32\MpSigStub.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R0 AtiPcie;AMD PCI Express (3GIO) Filter; C:\Windows\system32\DRIVERS\AtiPcie.sys [2010-03-09 14392] R0 pciide;pciide; C:\Windows\system32\DRIVERS\pciide.sys [2009-07-13 12368] R0 rdyboost;ReadyBoost; C:\Windows\System32\drivers\rdyboost.sys [2009-07-13 173648] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2010-11-03 126856] R1 CSC;@%systemroot%\system32\cscsvc.dll,-202; C:\Windows\system32\drivers\csc.sys [2009-07-13 387584] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 vwififlt;Virtual WiFi Filter Driver; C:\Windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2010-11-03 60936] R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2009-07-13 1035776] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-08-17 4994560] R3 BCM43XX;Broadcom 802.11-Netzwerkadaptertreiber; C:\Windows\system32\DRIVERS\bcmwl6.sys [2009-07-13 1131008] R3 BthEnum;Bluetooth-Auflistungsdienst; C:\Windows\system32\DRIVERS\BthEnum.sys [2009-07-13 34816] R3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2009-07-13 93696] R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2009-07-13 58880] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2009-07-13 129536] R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle); C:\Windows\system32\DRIVERS\tap0901t.sys [2009-09-16 27136] R3 usbfilter;AMD USB Filter Driver; C:\Windows\system32\DRIVERS\usbfilter.sys [2009-12-21 30392] S2 Parvdm;Parvdm; C:\Windows\system32\DRIVERS\parvdm.sys [2009-07-13 8704] S3 aic78xx;aic78xx; C:\Windows\system32\DRIVERS\djsvs.sys [2009-07-13 70720] S3 amdagp;AMD AGP-Bus-Filtertreiber; C:\Windows\system32\DRIVERS\amdagp.sys [2009-07-13 53312] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2009-07-13 229888] S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2009-07-13 392704] S3 E1G60;Intel(R) PRO/1000 NDIS 6-Adaptertreiber; C:\Windows\system32\DRIVERS\E1G60I32.sys [2009-07-13 118784] S3 esgiguard;esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [2010-01-27 5248] S3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\Windows\system32\DRIVERS\LHidFilt.Sys [2010-03-18 38864] S3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\Windows\system32\DRIVERS\LMouFilt.Sys [2010-03-18 37328] S3 RDPDR;Terminal Server Device Redirector Driver; C:\Windows\System32\drivers\rdpdr.sys [2009-07-13 133120] S3 s3cap;s3cap; C:\Windows\system32\DRIVERS\vms3cap.sys [2009-07-13 5632] S3 sisagp;SIS AGP-Bus-Filter; C:\Windows\system32\DRIVERS\sisagp.sys [2009-07-13 52304] S3 storvsc;storvsc; C:\Windows\system32\DRIVERS\storvsc.sys [2009-07-13 28224] S3 TIEHDUSB;TIEHDUSB; C:\Windows\system32\drivers\tiehdusb.sys [2004-02-04 49536] S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2010-04-19 41984] S3 viaagp;VIA AGP-Bus-Filter; C:\Windows\system32\DRIVERS\viaagp.sys [2009-07-13 53328] S3 ViaC7;VIA C7-Prozessortreiber; C:\Windows\system32\DRIVERS\viac7.sys [2009-07-13 52736] S3 vmbus;@%SystemRoot%\system32\vmbusres.dll,-1000; C:\Windows\system32\DRIVERS\vmbus.sys [2009-07-13 175824] S3 VMBusHID;VMBusHID; C:\Windows\system32\DRIVERS\VMBusHID.sys [2009-07-13 17920] S3 vwifimp;Microsoft Virtual WiFi Miniport Service; C:\Windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336] S3 WinUsb;WinUsb; C:\Windows\system32\DRIVERS\WinUsb.sys [2009-07-13 34944] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-08-17 176128] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2010-11-03 135336] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2010-11-03 267944] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672] R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files\Bonjour\mDNSResponder.exe [2010-07-27 345376] R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2009-07-13 20992] R2 SpyHunter 4 Service;SpyHunter 4 Service; C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [2010-09-21 327000] R2 TunngleService;TunngleService; C:\Program Files\Tunngle\TnglCtrl.exe [2010-07-06 716024] R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-24 820008] S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2009-07-13 20992] S3 LBTServ;Logitech Bluetooth Service; C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe [2010-05-06 293456] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 PeerDistSvc;@%SystemRoot%\system32\peerdistsvc.dll,-9000; C:\Windows\System32\svchost.exe [2009-07-13 20992] S3 SwitchBoard;Adobe SwitchBoard; C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2009-07-13 20992] -----------------EOF----------------- Und hier habe ich dann den text aus der Datei info.txt: [code] info.txtRSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.08 2010-11-16 08:46:48
======Uninstall list======
Adobe AIR-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
Adobe Community Help-->msiexec /qb /x {0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}
Adobe Community Help-->MsiExec.exe /I{0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe -maintain activex
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\FlashUtil10k_Plugin.exe -maintain plugin
Adobe Media Player-->msiexec /qb /x {DE3A9DC5-9A5D-6485-9662-347162C7E4CA}
Adobe Media Player-->MsiExec.exe /I{DE3A9DC5-9A5D-6485-9662-347162C7E4CA}
Adobe Photoshop CS5-->C:\Program Files\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe --appletID="DWA_UI" --appletVersion="1.0" --mode="Uninstall" --mediaSignature="{15FEDA5F-141C-4127-8D7E-B962D1742728}"
Adobe Reader 9.4.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A94000000001}
Apple Application Support-->MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Mobile Device Support-->MsiExec.exe /I{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}
Apple Software Update-->MsiExec.exe /I{C41300B9-185D-475E-BFEC-39EF732F19B1}
ATI Catalyst Install Manager-->msiexec /q/x{BECE7A8F-E2A4-9F86-AC4E-78D26A921D89} REBOOT=ReallySuppress
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
BitTorrent-->"C:\Program Files\BitTorrent\BitTorrent.exe" /UNINSTALL
Bonjour-->MsiExec.exe /X{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
DivX-Setup-->C:\ProgramData\DivX\Setup\DivXSetup.exe /uninstall /bundleGroupId divx.com
eReg-->MsiExec.exe /I{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}
Free YouTube to iPod Converter version 3.8-->"C:\Program Files\DVDVideoSoft\Free YouTube to iPod Converter\unins000.exe"
Google Earth-->MsiExec.exe /X{4286E640-B5FB-11DF-AC4B-005056C00008}
Guitar Pro 5.2-->"C:\Program Files\Guitar Pro 5\unins000.exe"
ICQ7.2-->"C:\Program Files\InstallShield Installation Information\{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}\ICQ7.exe" -runfromtemp -l0x0009 -removeonly
Internet-TV für Windows Media Center-->MsiExec.exe /X{9D318C86-AF4C-409F-A6AC-7183FF4CF424}
iTunes-->MsiExec.exe /I{2CE5A2E7-3437-4CE7-BCF4-85ED6EEFF9E4}
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216021FF}
Logitech SetPoint 6.15-->C:\Program Files\Common Files\LogiShrd\SP6_Uninstall\setup.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411-->MsiExec.exe /X{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft_VC80_ATL_x86-->MsiExec.exe /I{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}
Microsoft_VC80_CRT_x86-->MsiExec.exe /I{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}
Microsoft_VC80_MFC_x86-->MsiExec.exe /I{D1A19B02-817E-4296-A45B-07853FD74D57}
Microsoft_VC80_MFCLOC_x86-->MsiExec.exe /I{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}
Microsoft_VC90_ATL_x86-->MsiExec.exe /I{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}
Microsoft_VC90_CRT_x86-->MsiExec.exe /I{08D2E121-7F6A-43EB-97FD-629B44903403}
Microsoft_VC90_MFC_x86-->MsiExec.exe /I{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}
PDF Settings CS5-->MsiExec.exe /I{A78FE97A-C0C8-49CE-89D0-EDD524A17392}
QuickTime-->MsiExec.exe /I{E7004147-2CCA-431C-AA05-2AB166B9785D}
Safari-->MsiExec.exe /I{20ACB2F8-3BCA-45A8-80A2-9D3CB5C25F43}
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SpyHunter-->MsiExec.exe /X{9EFA7323-47A0-48E2-8F77-35DB5EED500A}
TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
TI Package Explorer-->MsiExec.exe /I{8A6B2F1E-6CC8-4C32-8655-8555268C5380}
Tunngle beta-->"C:\Program Files\Tunngle\unins000.exe"
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Windows Media Center Add-in for Silverlight-->MsiExec.exe /X{0EDBEB2B-7C8D-42E6-8312-0F84394A3223}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
======Hosts File======
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
======System event log======
Computer Name: WIN-0EF64RIIHNA
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Mittwoch, ?9. ?Dezember ?2009 um 03:00 auf diesem Computer installiert werden:
- Creative Technology Ltd. - media - Creative AudioPCI (ES1371,ES1373) (WDM)
Record Number: 1799
Source Name: Microsoft-Windows-WindowsUpdateClient
Time Written: 20091208194408.890625-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: WIN-0EF64RIIHNA
Event Code: 7040
Message: Der Starttyp des Diensts "Windows Search" wurde von Automatisch starten in Deaktiviert geändert.
Record Number: 1798
Source Name: Service Control Manager
Time Written: 20091208194350.546875-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 104
Message: Die Protokolldatei "Setup" wurde gelöscht.
Record Number: 1797
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.859375-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 104
Message: Die Protokolldatei "Application" wurde gelöscht.
Record Number: 1796
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.812500-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 104
Message: Die Protokolldatei "System" wurde gelöscht.
Record Number: 1795
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.812500-000
Event Type: Informationen
User:
=====Application event log=====
Computer Name: WIN-0EF64RIIHNA
Event Code: 1003
Message: Windows Search wurde gestartet.
Record Number: 370
Source Name: Microsoft-Windows-Search
Time Written: 20091208194414.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 1013
Message: Windows Search wurde normal beendet.
Record Number: 369
Source Name: Microsoft-Windows-Search
Time Written: 20091208194411.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 103
Message: Windows (320) Windows: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 368
Source Name: ESENT
Time Written: 20091208194410.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4121
Message:
Eine Hauptzusammenführung wurde für Katalog SystemIndex neu gestartet.
Record Number: 367
Source Name: Microsoft-Windows-Search
Time Written: 20091208194351.000000-000
Event Type: Informationen
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4104
Message:
Eine Hauptzusammenführung wurde für Katalog SystemIndex wegen des Fehlers 0xc0000001 angehalten. Sie wird für einen späteren Zeitpunkt neu geplant.
Record Number: 366
Source Name: Microsoft-Windows-Search
Time Written: 20091208194351.000000-000
Event Type: Informationen
User:
=====Security event log=====
Computer Name: WIN-0EF64RIIHNA
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: WIN-0EF64RIIHNA$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x214
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 467
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194434.468750-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 466
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194413.250000-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: WIN-0EF64RIIHNA$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x214
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 465
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194413.250000-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 4738
Message: Ein Benutzerkonto wurde geändert.
Antragsteller:
Sicherheits-ID: S-1-5-21-1194101188-3849239206-2520494651-500
Kontoname: Administrator
Kontodomäne: WIN-0EF64RIIHNA
Anmelde-ID: 0x18334
Zielkonto:
Sicherheits-ID: S-1-5-21-1194101188-3849239206-2520494651-500
Kontoname: Administrator
Kontodomäne: WIN-0EF64RIIHNA
Geänderte Attribute:
SAM-Kontoname: -
Anzeigename: -
Benutzerprinzipalname: -
Stammverzeichnis: -
Stammlaufwerk: -
Skriptpfad: -
Profilpfad: -
Benutzerarbeitsstationen: -
Letzte Kennwortänderung: -
Konto gültig bis: -
Primäre Gruppen-ID: -
Darf delegieren an: -
Alter Benutzerkontensteuerungswert: 0x211
Neuer Benutzerkontensteuerungswert: 0x211
Benutzerkontensteuerung: -
Benutzerparameter: -
SID-Verlauf: -
Anmeldezeiten: -
Weitere Informationen:
Berechtigungen: -
Record Number: 464
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091208194336.031250-000
Event Type: Überwachung erfolgreich
User:
Computer Name: WIN-0EF64RIIHNA
Event Code: 1102
Message: Das Überwachungsprotokoll wurde gelöscht.
Subjekt:
Sicherheits-ID: S-1-5-21-1194101188-3849239206-2520494651-500
Kontoname: Administrator
Domänenname: WIN-0EF64RIIHNA
Anmelde-ID: 0x18334
Record Number: 463
Source Name: Microsoft-Windows-Eventlog
Time Written: 20091208194335.828125-000
Event Type: Überwachung erfolgreich
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=17
"PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0301
"asl.log"=Destination=file;OnFirstLog=command,environment,parent
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
|
|
17.11.2010, 08:19
| #13 |
| /// Helfer-Team | von SpyHunter4 und angehängten Trojanern befreien? Wie? Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus - Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
2. Wie lange dauert die Startvorgang? Wenn du auf der Stelle ein schnelleres System haben möchtest: - Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben - Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen. - Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart... - Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.) - Falls Du mal brauchst, manueller Start jederzeit möglich - Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*): Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
Gleich ein paar Vorschläge: Code:
ATTFilter O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') - Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher ist es empfehlenswert solche Dienste ganz einfach abschalten: Code:
ATTFilter O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Deaktiviert, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. - auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!! ✏ SpyHunter würde ich sogar deinstallieren! 4. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\Users\Paul\AppData\Local\Temp\enuxhq.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1) ** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code:
ATTFilter File name:
<<Dateiname>>
Submission date:
2010-10-22 03:34:01 (UTC)
Current status:
queued queued analysing finished
Result:
.....%
VT Community
goodware/badware
Safety score: 100.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.22.00 2010.10.21 -
AntiVir 7.10.13.15 2010.10.21 -
Antiy-AVL 2.0.3.7 2010.10.22 -
Authentium 5.2.0.5 2010.10.22 -
Avast 4.8.1351.0 2010.10.21 -
Avast5 5.0.594.0 2010.10.21 -
usw........
4. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
|
19.11.2010, 02:45
| #14 |
| | von SpyHunter4 und angehängten Trojanern befreien? Wie? Hey ich Hab einige Probleme die "Aufgaben" auszuführen... Wenn ich in HijackThis den jeweiligen Eintrag mit nem Häkchen versehe (ich habe wie beschreiben jeweils nur einen Eintrag ausgewählt) und dann neustarte und in nem neuen Hijackthis-Run die Einträge lese ist der soeben "bearbeitete" Eintrag immer noch da... Was mache ich falsch? Folgende Einträge konnte ich garnicht erst finden: Code:
ATTFilter O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
Außerdem kann ich die folgende Datei, geschweige denn die ordner, die zu der Datei führen sollen finden, auch wenn ich dem Pfad versuche "von Hand" zu folgen, leider nicht annähernd entdecken. Code:
ATTFilter C:\Users\Paul\AppData\Local\Temp\enuxhq.exe
 Spyhunter ist also komplett deinstalliert? Danke für die Hilfe! |
|
20.11.2010, 07:13
| #15 | |
| /// Helfer-Team | von SpyHunter4 und angehängten Trojanern befreien? Wie? wie gesagt: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen also versuche es mit fixen nochmal! hast Du die Einstellungen vorgenommen?: Zitat:
|
|
| Themen zu von SpyHunter4 und angehängten Trojanern befreien? Wie? |
| befallen, befreien, brauch, glaube, informationen, installier, log-files, sonstige, spyhunter, spyhunter4, super, thinkpoint, troja, trojaner, trojanern, worte, zuvor |
Linear-Darstellung
