|
Plagegeister aller Art und deren Bekämpfung: ijohirewap.dll + updugt32.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.11.2010, 02:11 | #1 |
| ijohirewap.dll + updugt32.exe hallo, plage mich seit wochen mit einigen schädlingen rum. angefangen hat's mit virusfunden durch avast, lahmen rechner, firefox.exe war weg, dann wurden mails versand? ohne mein zutun? usw. usw.. hatte die kiste dann irgendwann wieder am laufen aber kein vertrauen mehr ins gerät. bin dann auf euer forum gestoßen und habe jetz mal ein paar scan's gemacht. schon mal vielen dank im voraus. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:21:46, on 16.11.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\cjpcsc.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe C:\Programme\Alwil Software\Avast5\avastUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac C:\Programme\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe C:\mysql\bin\winmysqladmin.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\HijackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe O4 - HKLM\..\Run: [avast5] "C:\Programme\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Browser Mouse 1.0.lnk = C:\Programme\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ? O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O20 - Winlogon Notify: cbssreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe -- End of file - 5332 bytes |
18.11.2010, 20:15 | #2 |
/// Malware-holic | ijohirewap.dll + updugt32.exe otl wie folgt ausführen:
__________________ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten
__________________ |
19.11.2010, 02:21 | #3 |
| ijohirewap.dll + updugt32.exe hab ich gemacht,
__________________hier ist mein bericht. #OTL Logfile: OTL EXTRAS Logfile: Code:
ATTFilter OTL logfile created on: 19.11.2010 01:52:55 - Run 3 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Papa\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 722,00 Mb Available Physical Memory | 71,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,53 Gb Total Space | 2,18 Gb Free Space | 11,17% Space Free | Partition Type: NTFS Drive D: | 54,99 Gb Total Space | 27,33 Gb Free Space | 49,70% Space Free | Partition Type: NTFS Drive H: | 55,88 Gb Total Space | 16,12 Gb Free Space | 28,85% Space Free | Partition Type: FAT32 Computer Name: BARTXP | User Name: Papa | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Papa\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software) PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) PRC - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac (ArcSoft Inc.) PRC - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) PRC - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.) PRC - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe () PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin) PRC - C:\WINDOWS\system32\cjpcsc.exe (REINER SCT) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\Crypserv.exe (CrypKey (Canada) Ltd.) PRC - C:\mysql\bin\winmysqladmin.exe (MySQL AB) PRC - C:\mysql\bin\mysqld-nt.exe () PRC - C:\WINDOWS\system32\sstray.exe (NVIDIA Corporation) PRC - C:\WINDOWS\system32\brsvc01a.exe (brother Industries Ltd) PRC - C:\WINDOWS\system32\brss01a.exe (brother Industries Ltd) PRC - C:\Programme\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Papa\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Programme\Browser Mouse\Browser Mouse\1.0\MouseDll.dll () ========== Win32 Services (SafeList) ========== SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (ACDaemon) -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.) SRV - (Autodata Limited License Service) -- C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe () SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin) SRV - (cjpcsc) -- C:\WINDOWS\system32\cjpcsc.exe (REINER SCT) SRV - (Crypkey License) -- C:\WINDOWS\System32\Crypserv.exe (CrypKey (Canada) Ltd.) SRV - (MySql) -- C:/mysql/bin/mysqld-nt.exe () SRV - (Brother XP spl Service) -- C:\WINDOWS\system32\brsvc01a.exe (brother Industries Ltd) ========== Driver Services (SafeList) ========== DRV - (hwdatacard) -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys File not found DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software) DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software) DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software) DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software) DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software) DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation) DRV - (cjusb) -- C:\WINDOWS\system32\drivers\cjusb.sys (REINER SCT) DRV - (bizVSerial) -- C:\WINDOWS\system32\drivers\bizVSerialNT.sys (franson.biz) DRV - (BrSerIf) -- C:\WINDOWS\system32\drivers\BrSerIf.sys (Brother Industries Ltd.) DRV - (Afc) -- C:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.) DRV - (BrUsbSer) -- C:\WINDOWS\system32\drivers\BrUsbSer.sys (Brother Industries Ltd.) DRV - (NetworkX) -- C:\WINDOWS\system32\ckldrv.sys () DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (si3112r) -- C:\WINDOWS\system32\drivers\si3112r.sys (Silicon Image, Inc) DRV - (SiWinAcc) -- C:\WINDOWS\system32\drivers\SiWinAcc.sys (Silicon Image, Inc.) DRV - (SiFilter) -- C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys (Silicon Image, Inc.) DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation) DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation) DRV - (nvidesm) -- C:\WINDOWS\system32\drivers\nvidesm.sys (NVIDIA Corporation) DRV - (NVENET) -- C:\WINDOWS\system32\drivers\NVENET.sys (NVIDIA Corporation) DRV - (nv_agp) -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/ IE - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://web.de/" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {7117D1F4-A052-4D48-9ED5-E913C4A9F475}:1.9.1 FF - HKLM\software\mozilla\Firefox\Extensions\\{7117D1F4-A052-4D48-9ED5-E913C4A9F475}: C:\Dokumente und Einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\{7117D1F4-A052-4D48-9ED5-E913C4A9F475} [2010.10.11 18:33:33 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.11.03 08:11:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.18 14:28:33 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.24 13:18:22 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.08.24 13:18:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Mozilla\Extensions [2010.08.24 13:18:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.10.13 10:09:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Mozilla\Firefox\Profiles\dk08izar.default\extensions [2010.03.13 12:56:13 | 000,002,921 | ---- | M] () -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Mozilla\Firefox\Profiles\dk08izar.default\searchplugins\daemon-search.xml [2010.11.19 01:10:31 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.10.13 09:44:51 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.10.13 09:44:51 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.10.13 09:44:52 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.10.13 09:44:52 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.10.13 09:44:52 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.02.22 18:16:56 | 000,000,021 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software) O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [nForce Tray Options] C:\WINDOWS\System32\sstray.exe (NVIDIA Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Browser Mouse 1.0.lnk = C:\Programme\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe (VR-NetWorld Software) O4 - Startup: C:\Dokumente und Einstellungen\Papa\Startmenü\Programme\Autostart\WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe (MySQL AB) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found O15 - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKU\S-1-5-21-1202660629-1364589140-1801674531-1003\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2007.02.09 21:35:09 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{122908e2-b882-11db-99d0-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{122908e2-b882-11db-99d0-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{122908e2-b882-11db-99d0-806d6172696f}\Shell\AutoRun\command - "" = F:\Autorun.exe root.ini -- File not found O33 - MountPoints2\{20db8466-e4d0-11de-a904-00508df768d0}\Shell - "" = AutoRun O33 - MountPoints2\{20db8466-e4d0-11de-a904-00508df768d0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{20db8466-e4d0-11de-a904-00508df768d0}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O33 - MountPoints2\{24be4ca7-bed2-11dd-8c21-00508df768d0}\Shell\AutoRun\command - "" = G:\InstallTomTomHOME.exe -- File not found O33 - MountPoints2\{6c6242f9-6d66-11df-a998-001a4f4a26e3}\Shell\AutoRun\command - "" = J:\MI.exe -- File not found O33 - MountPoints2\{a2c96770-e4d5-11de-a905-00508df768d0}\Shell - "" = AutoRun O33 - MountPoints2\{a2c96770-e4d5-11de-a905-00508df768d0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{a2c96770-e4d5-11de-a905-00508df768d0}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: Sharedaccess - File not found NetSvcs: WmdmPmSp - File not found MsConfig - Services: "wuauserv" MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk - C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE - (Microsoft Corporation) MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk - C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe - File not found MsConfig - StartUpReg: ControlCenter2.0 - hkey= - key= - C:\Programme\Brother\ControlCenter2\brctrcen.exe File not found MsConfig - StartUpReg: NeroCheck - hkey= - key= - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 2 MsConfig - State: "startup" - 2 SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: SharedAccess - File not found SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Ligos Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\Ir50_32.dll (Ligos Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (16902109354000384) ========== Files/Folders - Created Within 30 Days ========== [2010.11.17 13:48:12 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Papa\Desktop\OTL.exe [2010.11.17 00:21:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Malwarebytes [2010.11.17 00:21:42 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.11.17 00:21:40 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.11.17 00:21:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.11.17 00:21:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.11.16 13:19:57 | 000,000,000 | ---D | C] -- C:\HijackThis [2010.11.15 22:43:20 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Papa\Recent [2010.11.15 22:36:18 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.11.11 23:06:18 | 000,156,544 | ---- | C] (Borland International) -- C:\WINDOWS\System\BWCC.DLL [2010.11.11 23:06:18 | 000,021,648 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System\CTL3DV2.DLL [2010.11.11 22:56:42 | 000,000,000 | ---D | C] -- C:\DIGCAD [2010.10.25 20:51:48 | 000,038,848 | ---- | C] (AVAST Software) -- C:\WINDOWS\avastSS.scr [2010.10.25 20:51:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.19 01:49:16 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.19 01:47:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.19 01:47:23 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys [2010.11.18 19:20:07 | 000,000,364 | ---- | M] () -- C:\WINDOWS\Atris_St.INI [2010.11.18 14:32:20 | 000,001,379 | ---- | M] () -- C:\WINDOWS\ODBC.INI [2010.11.17 13:48:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Papa\Desktop\OTL.exe [2010.11.05 13:19:20 | 000,001,348 | ---- | M] () -- C:\Dokumente und Einstellungen\Papa\Desktop\InterKat.lnk [2010.10.31 10:51:17 | 000,458,822 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.10.31 10:51:17 | 000,441,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.10.31 10:51:17 | 000,084,326 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.10.31 10:51:17 | 000,071,060 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.10.25 20:51:58 | 000,003,002 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT [2010.10.25 20:51:58 | 000,001,664 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.05 13:19:20 | 000,001,348 | ---- | C] () -- C:\Dokumente und Einstellungen\Papa\Desktop\InterKat.lnk [2010.10.25 20:51:58 | 000,001,664 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk [2010.10.11 18:31:48 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ldcpfk.dat [2010.10.04 10:50:37 | 000,000,295 | ---- | C] () -- C:\WINDOWS\Atris_STG.INI [2010.03.13 11:39:43 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.10.09 22:07:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2009.06.16 13:45:15 | 000,000,396 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini [2009.06.16 13:45:00 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\SerialXP.dll [2009.06.16 13:45:00 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\win32com.dll [2009.04.24 18:46:31 | 000,000,380 | ---- | C] () -- C:\WINDOWS\EasyCT.INI [2009.04.06 14:34:04 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll [2009.03.31 12:30:28 | 000,031,846 | ---- | C] () -- C:\WINDOWS\System32\Ckldrv.sys [2009.03.31 12:30:28 | 000,018,432 | ---- | C] () -- C:\WINDOWS\Setup_ck.dll [2009.03.31 12:02:39 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009.03.31 12:01:19 | 000,000,364 | ---- | C] () -- C:\WINDOWS\Atris_St.INI [2009.02.27 21:36:02 | 000,000,454 | ---- | C] () -- C:\WINDOWS\my.ini [2009.01.19 16:44:02 | 000,001,125 | ---- | C] () -- C:\WINDOWS\winamp.ini [2008.01.30 08:43:32 | 000,029,696 | ---- | C] () -- C:\WINDOWS\System32\asutl8.dll [2007.11.18 11:42:09 | 000,001,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2007.09.03 16:59:38 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll [2007.09.03 16:59:38 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll [2007.09.03 16:59:38 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll [2007.09.03 16:58:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\BBCAuto.INI [2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll [2007.04.10 20:33:30 | 000,000,320 | ---- | C] () -- C:\WINDOWS\scrncapt.ini [2007.03.18 12:06:12 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini [2007.03.15 20:33:09 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.03.15 08:33:56 | 000,000,468 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2007.03.15 08:33:56 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2007.02.25 17:55:32 | 000,001,379 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.02.25 17:42:32 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.02.10 18:19:37 | 000,018,253 | ---- | C] () -- C:\WINDOWS\System32\ssnvfx.ini [2007.02.09 21:21:44 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll [2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll [1999.04.29 23:00:00 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL ========== LOP Check ========== [2010.10.25 20:51:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2010.03.13 12:56:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2009.10.12 09:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVSE GmbH [2009.05.07 17:30:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch [2009.06.16 13:44:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\REINER SCT [2010.11.15 22:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan [2009.04.29 12:04:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0 [2008.03.07 15:37:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Terzio [2008.11.30 12:39:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2009.11.09 11:46:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ScreeNet iSaver [2009.06.22 16:25:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\FRITZ! [2008.01.30 09:01:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Anvil Studio [2010.03.15 09:35:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DAEMON Tools [2010.03.13 11:39:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DAEMON Tools Lite [2010.03.15 09:35:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DAEMON Tools Pro [2009.10.12 09:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DVSE GmbH [2010.05.11 15:56:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\FRITZ! [2009.05.07 17:30:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\FRITZ!fax für FRITZ!Box [2007.05.13 17:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Kazaa Lite [2009.10.30 01:00:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\ScreeNet iSaver [2010.08.24 13:18:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Thunderbird ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2009.06.08 16:08:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Adobe [2009.06.24 12:03:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\AdobeUM [2008.01.30 09:01:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Anvil Studio [2007.11.18 11:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Apple Computer [2010.11.13 18:16:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\ArcSoft [2007.03.18 19:30:00 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Brother [2010.03.15 09:35:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DAEMON Tools [2010.03.13 11:39:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DAEMON Tools Lite [2010.03.15 09:35:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DAEMON Tools Pro [2009.10.12 09:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\DVSE GmbH [2010.05.11 15:56:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\FRITZ! [2009.05.07 17:30:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\FRITZ!fax für FRITZ!Box [2008.02.02 15:31:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Google [2009.04.06 13:16:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Help [2007.02.09 21:43:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Identities [2009.10.30 00:03:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\InstallShield [2007.05.13 17:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Kazaa Lite [2007.04.12 18:14:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Macromedia [2010.11.17 00:21:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Malwarebytes [2009.10.27 00:47:19 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Microsoft [2007.02.25 17:53:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Microsoft Web Folders [2009.11.18 17:13:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Mozilla [2009.10.30 01:00:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\ScreeNet iSaver [2009.11.20 18:58:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Sun [2009.11.18 17:13:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Talkback [2010.08.24 13:18:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Thunderbird < %APPDATA%\*.exe /s > < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2009.09.25 21:54:57 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2009.09.25 21:54:57 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2009.09.25 21:54:57 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2009.09.25 21:54:57 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2006.02.28 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: EXPLORER.EXE > [2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe < MD5 for: NETLOGON.DLL > [2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2006.02.28 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2006.02.28 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2006.02.28 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > [2010.03.13 11:39:44 | 000,717,296 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\drivers\sptd.sys < %systemroot%\System32\config\*.sav > [2007.02.09 22:19:30 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.02.09 22:19:30 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.02.09 22:19:29 | 000,438,272 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\svchost.exe:SummaryInformation < End of report > --- --- --- # und noch die extras: #OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 19.11.2010 01:52:55 - Run 3 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Papa\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 722,00 Mb Available Physical Memory | 71,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,53 Gb Total Space | 2,18 Gb Free Space | 11,17% Space Free | Partition Type: NTFS Drive D: | 54,99 Gb Total Space | 27,33 Gb Free Space | 49,70% Space Free | Partition Type: NTFS Drive H: | 55,88 Gb Total Space | 16,12 Gb Free Space | 28,85% Space Free | Partition Type: FAT32 Computer Name: BARTXP | User Name: Papa | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation) http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2121BEF3-F102-4B7F-B5CF-A5299DAADA25}_is1" = CAO-Faktura 1.4 "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17 "{2FBC7FAE-14B0-416D-B113-5B1EBA582978}" = ArcSoft MediaImpression for Kodak "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{4E95F911-B344-48FB-8E5E-1CED78E0FBDE}" = ATRis STAHLGRUBER DVD Setup (04/2010) "{52167B0C-FB5D-43E7-BEC5-24EE6BEE2BA0}" = DVSE Updater "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{8815F011-43AF-4F50-BBD8-D78ED3D6F5B9}" = VR-NetWorld "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D9461574-5FC0-4641-BBDC-D1038B196F55}" = Brother MFL-Pro Suite MFC-490CW "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}" = QuickTime "{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe SVG Viewer" = Adobe SVG Viewer 3.0 "Alcatech BPM Studio Professional v4.9.1" = Alcatech BPM Studio Professional v4.9.1 "avast5" = avast! Free Antivirus "AVMWLANCLI" = AVM FRITZ!WLAN "Browser Mouse Browser Mouse" = Browser Mouse Browser Mouse 1.0 "CCleaner" = CCleaner "CDex" = CDex extraction audio "FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box "HijackThis" = HijackThis 2.0.2 "InterKat_is1" = InterKat 5.8 "IrfanView" = IrfanView (remove only) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) "Mozilla Thunderbird (3.1.2)" = Mozilla Thunderbird (3.1.2) "MySQL Servers and Clients 3.23.58" = MySQL Servers and Clients 3.23.58 "MySQL-Front_is1" = MySQL-Front 2.5 "NVIDIAnForce" = NVIDIA nForce Treiber für Windows 2000/XP "SCII_is1" = SeaClear II "SSUtils" = NVIDIA nForce Utilities "STAkis-S" = STAkis-S "SysadmV10" = Sysadm "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR Archivierer ========== Last 10 Event Log Errors ========== [ Antivirus Events ] Error - 07.02.2010 09:57:32 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 09.04.2010 04:53:38 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 09.04.2010 04:53:38 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 30.07.2010 19:22:07 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 08.08.2010 10:00:52 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 08.08.2010 10:01:11 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 10.10.2010 08:14:03 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 10.10.2010 08:14:04 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 12.10.2010 07:21:38 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = Error - 12.10.2010 07:21:38 | Computer Name = BARTXP | Source = avast! | ID = 33554522 Description = [ Application Events ] Error - 29.05.2010 17:57:40 | Computer Name = BARTXP | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung atris_st.exe, Version 1.0.0.1, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 29.05.2010 17:58:19 | Computer Name = BARTXP | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung cao_free.exe, Version 1.4.2.4, fehlgeschlagenes Modul , Version 0.0.0.0, Fehleradresse 0x00000000. Error - 11.06.2010 06:58:13 | Computer Name = BARTXP | Source = DVSE.WinApp.NemoKat.exe | ID = 0 Description = Error - 06.07.2010 12:18:52 | Computer Name = BARTXP | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung MediaImpression.exe, Version 1.5.24.405, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 06.07.2010 12:18:56 | Computer Name = BARTXP | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung MediaImpression.exe, Version 1.5.24.405, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 08.07.2010 03:55:17 | Computer Name = BARTXP | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung atris_st.exe, Version 1.0.0.1, fehlgeschlagenes Modul og70nas.dll, Version 6.1.0.0, Fehleradresse 0x0006d590. Error - 26.07.2010 04:50:36 | Computer Name = BARTXP | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung atris_st.exe, Version 1.0.0.1, fehlgeschlagenes Modul og70nas.dll, Version 6.1.0.0, Fehleradresse 0x0006d590. Error - 16.09.2010 18:41:57 | Computer Name = BARTXP | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung atris_st.exe, Version 1.0.0.1, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 13.10.2010 04:50:15 | Computer Name = BARTXP | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 13.10.2010 04:50:15 | Computer Name = BARTXP | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . [ System Events ] Error - 12.11.2010 02:57:38 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 13.11.2010 09:15:10 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 14.11.2010 05:23:41 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 15.11.2010 04:44:10 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 16.11.2010 04:44:51 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 17.11.2010 08:46:16 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: atapi PCIIde Error - 17.11.2010 08:46:16 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 18.11.2010 05:12:36 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 18.11.2010 17:11:51 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 18.11.2010 20:49:14 | Computer Name = BARTXP | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 < End of report > # schon mal vielen dank, daß sich einer der sache angenommen hat. wäre echt toll wenn wir die kiste noch mal so sauber bekommen. bin schon dabei mir nen neuen rechner aufzusetzen. (der dann nicht so zugemüllt wird) aber bis der so läuft wie ich es brauche dauerts noch ne weile und bis dahin bin ich noch auf den alten angewiesen. thanks sigi achso, hab noch was vergessen!!!! während des OTL scans bekam ich ca 10 mal hintereinander in etwa folgende fehlermeldung: "Windows-kein Datenträger Exception Processing Message c0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7c" war gestern auch schon so. hab immer auf weiter geclickt bis er dann durchlief. weis nich ob's hilft oder schlimm ist ??? thanks sigi Geändert von sigi (19.11.2010 um 02:35 Uhr) Grund: was vergessen |
19.11.2010, 12:12 | #4 |
/// Malware-holic | ijohirewap.dll + updugt32.exe bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.11.2010, 13:42 | #5 |
| ijohirewap.dll + updugt32.exe so, combofix ist durch: #Combofix Logfile: Code:
ATTFilter ComboFix 10-11-18.04 - Papa 19.11.2010 13:20:17.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.709 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Papa\Desktop\ComboFix.exe AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . ADS - svchost.exe: deleted 88 bytes in 2 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Dokumente\Settings c:\dokumente und einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\{7117D1F4-A052-4D48-9ED5-E913C4A9F475} c:\dokumente und einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\{7117D1F4-A052-4D48-9ED5-E913C4A9F475}\chrome.manifest c:\dokumente und einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\{7117D1F4-A052-4D48-9ED5-E913C4A9F475}\chrome\content\_cfg.js c:\dokumente und einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\{7117D1F4-A052-4D48-9ED5-E913C4A9F475}\chrome\content\overlay.xul c:\dokumente und einstellungen\Papa\Lokale Einstellungen\Anwendungsdaten\{7117D1F4-A052-4D48-9ED5-E913C4A9F475}\install.rdf c:\windows\My.ini c:\windows\pi.exe c:\windows\system32\ini c:\windows\system32\ini\DTYPE.CPG c:\windows\system32\ini\DTYPE.FLS c:\windows\system32\ini\DTYPE.PAT c:\windows\system32\ini\DTYPE.PHY c:\windows\system32\ini\DTYPE.STL c:\windows\system32\ini\gs002.gsl c:\windows\system32\ini\gs004.gsl c:\windows\system32\ini\gs006.gsl c:\windows\system32\ini\gs016.gsl c:\windows\system32\ini\gs256.gsl c:\windows\system32\ini\gssqrt.gsl c:\windows\system32\sstray.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-10-19 bis 2010-11-19 )))))))))))))))))))))))))))))) . 2010-11-16 23:21 . 2010-11-16 23:21 -------- d-----w- c:\dokumente und einstellungen\Papa\Anwendungsdaten\Malwarebytes 2010-11-16 23:21 . 2010-04-29 11:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-16 23:21 . 2010-11-17 07:54 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-16 23:21 . 2010-11-16 23:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-16 23:21 . 2010-04-29 11:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-16 12:19 . 2010-11-16 12:21 -------- d-----w- C:\HijackThis 2010-11-15 21:36 . 2010-11-15 21:49 -------- d-----w- c:\programme\CCleaner 2010-11-11 22:06 . 1994-09-30 22:00 21648 ----a-w- c:\windows\system\CTL3DV2.DLL 2010-11-11 22:06 . 1994-09-30 22:00 156544 ----a-w- c:\windows\system\BWCC.DLL 2010-11-11 21:56 . 2010-11-11 22:05 -------- d-----w- C:\DIGCAD 2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll 2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programme\Internet Explorer\Plugins\nppdf32.dll 2010-10-25 19:51 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr 2010-10-25 19:51 . 2010-10-25 19:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-13 13:36 . 2006-02-28 12:00 14336 ----a-w- c:\windows\system32\svchost.exe 2010-09-07 15:11 . 2009-10-07 13:44 167592 ----a-w- c:\windows\system32\aswBoot.exe 2010-09-07 14:52 . 2009-10-07 13:44 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2010-09-07 14:52 . 2009-10-07 13:44 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys 2010-09-07 14:47 . 2009-10-07 13:44 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2010-09-07 14:47 . 2009-10-07 13:44 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2010-09-07 14:47 . 2009-10-07 13:44 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys 2010-09-07 14:47 . 2009-10-07 13:44 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2010-09-07 14:46 . 2009-10-07 13:44 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624] "ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360] "avast5"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Papa\Startmen\Programme\Autostart\ WinMySQLadmin.lnk - c:\mysql\bin\winmysqladmin.exe [2009-2-27 936448] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Browser Mouse 1.0.lnk - c:\programme\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe [2008-3-24 429568] VR-NetWorld Auftragsprfung.lnk - c:\programme\VR-NetWorld\vrtoolcheckorder.exe [2009-6-16 565248] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk backup=c:\windows\pss\Status Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [21.07.2003 10:27 85265] R0 SiWinAcc;SiWinAcc;c:\windows\system32\drivers\SiWinAcc.sys [21.07.2003 10:27 9600] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [13.03.2010 11:39 717296] R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [07.10.2009 14:44 165584] R1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [16.06.2009 13:45 14949] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07.10.2009 14:44 17744] R2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [16.06.2009 13:44 668976] R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;c:\windows\system32\drivers\cjusb.sys [16.06.2009 13:45 23040] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [07.05.2009 01:01 4352] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.05.2009 01:01 265088] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://web.de/ uInternet Settings,ProxyOverride = fritz.box FF - ProfilePath - c:\dokumente und einstellungen\Papa\Anwendungsdaten\Mozilla\Firefox\Profiles\dk08izar.default\ FF - prefs.js: browser.startup.homepage - hxxp://web.de/ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-nForce Tray Options - sstray.exe MSConfigStartUp-ControlCenter2 - c:\programme\Brother\ControlCenter2\brctrcen.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-19 13:23 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySql] "ImagePath"="C:/mysql/bin/mysqld-nt.exe" [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySql] "ImagePath"="C:/mysql/bin/mysqld-nt.exe" . Zeit der Fertigstellung: 2010-11-19 13:24:32 ComboFix-quarantined-files.txt 2010-11-19 12:24 Vor Suchlauf: 2.260.398.080 Bytes frei Nach Suchlauf: 2.225.254.400 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 477FCF0B1B1045C8584E12F89D07B719# over |
19.11.2010, 16:22 | #6 |
/// Malware-holic | ijohirewap.dll + updugt32.exe
__________________ --> ijohirewap.dll + updugt32.exe |
19.11.2010, 17:25 | #7 |
| ijohirewap.dll + updugt32.exe hallo, schon gemacht, hier isser: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2010-11-19 17:24:46 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\si3112r1Port0Path0Target0Lun0 ST380817 rev.3.42 Running: rllnqdfy.exe; Driver: C:\DOKUME~1\Papa\LOKALE~1\Temp\uxtdqpow.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xB2D82CF0] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xB2D82BAC] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xB2D83160] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xB2D8308A] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xB2D82782] SSDT spsg.sys ZwEnumerateKey [0xF746DCA2] SSDT spsg.sys ZwEnumerateValueKey [0xF746E030] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xB2D82C86] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xB2D826C2] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xB2D82726] SSDT spsg.sys ZwQueryKey [0xF746E108] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xB2D82DA6] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xB2D8322E] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xB2D82D66] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xB2D82EE6] INT 0x63 ? 86FDCBF8 INT 0x63 ? 86721F00 INT 0x63 ? 86FDCBF8 INT 0x73 ? 86FDCBF8 INT 0x83 ? 86721F00 INT 0xB4 ? 86721F00 Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xB2D8FBAE] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xB2D8F9D2] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xB2D8FB0C] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject ---- Kernel code sections - GMER 1.0.15 ---- PAGE ntoskrnl.exe!ObInsertObject 8056503A 5 Bytes JMP B2D8CFFA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) PAGE ntoskrnl.exe!NtCreateSection 805652B3 7 Bytes JMP B2D8F9D6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) PAGE ntoskrnl.exe!ZwCreateProcessEx 8057FC6C 7 Bytes JMP B2D8FBB2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) PAGE ntoskrnl.exe!ObMakeTemporaryObject 8059F85D 5 Bytes JMP B2D8B5D4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) PAGE ntoskrnl.exe!ZwLoadDriver 805A3B01 7 Bytes JMP B2D8FB10 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ? spsg.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload F71F38AC 5 Bytes JMP 867214E0 init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF7A51912] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Alwil Software\Avast5\AvastSvc.exe[1368] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 90] {RET 0x4; NOP } ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86FDC2D8 IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7480C4C] spsg.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7480CA0] spsg.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7450040] spsg.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F745013C] spsg.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74500BE] spsg.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74507FC] spsg.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74506D2] spsg.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 867215E0 IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7460048] spsg.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\system32\services.exe[740] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002 IAT C:\WINDOWS\system32\services.exe[740] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000 ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software) Device \FileSystem\Ntfs \Ntfs 86F6A1F8 AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software) Device \FileSystem\Fastfat \FatCdrom aswSP.SYS (avast! self protection module/AVAST Software) Device \FileSystem\Fastfat \FatCdrom 867C2370 AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) Device \Driver\usbohci \Device\USBPDO-0 86727500 Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F6D1F8 Device \Driver\dmio \Device\DmControl\DmConfig 86F6D1F8 Device \Driver\dmio \Device\DmControl\DmPnP 86F6D1F8 Device \Driver\dmio \Device\DmControl\DmInfo 86F6D1F8 Device \Driver\usbohci \Device\USBPDO-1 86727500 Device \Driver\usbehci \Device\USBPDO-2 86723500 AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) Device \Driver\Ftdisk \Device\HarddiskVolume1 86FDA1F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 86FDA1F8 Device \Driver\Cdrom \Device\CdRom0 8674A500 Device \Driver\Cdrom \Device\CdRom1 8674A500 Device \Driver\Ftdisk \Device\HarddiskVolume3 86FDA1F8 Device \Driver\Ftdisk \Device\HarddiskVolume4 86FDA1F8 Device \Driver\USBSTOR \Device\00000075 867B6500 Device \Driver\USBSTOR \Device\00000077 867B6500 Device \Driver\NetBT \Device\NetBt_Wins_Export 86769500 Device \Driver\NetBT \Device\NetbiosSmb 86769500 AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) Device \Driver\usbohci \Device\USBFDO-0 86727500 Device \Driver\usbohci \Device\USBFDO-1 86727500 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 867D3500 Device \Driver\usbehci \Device\USBFDO-2 86723500 Device \FileSystem\MRxSmb \Device\LanmanRedirector 867D3500 Device \Driver\Ftdisk \Device\FtControl 86FDA1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{E4B3D49F-95A5-4605-801F-82D7E7C4C47F} 86769500 Device \Driver\si3112r \Device\Scsi\si3112r1Port0Path1Target0Lun0 86F6C1F8 Device \Driver\si3112r \Device\Scsi\si3112r1Port0Path0Target0Lun0 86F6C1F8 Device \Driver\nvidesm \Device\Scsi\nvidesm1Port1Path0Target1Lun0 86FD81F8 Device \Driver\nvidesm \Device\Scsi\nvidesm1 86FD81F8 Device \Driver\nvidesm \Device\Scsi\nvidesm1Port1Path0Target0Lun0 86FD81F8 Device \Driver\si3112r \Device\Scsi\si3112r1 86F6C1F8 Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/AVAST Software) Device \FileSystem\Fastfat \Fat 867C2370 AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software) Device \FileSystem\Cdfs \Cdfs 86763500 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5C 0x7E 0x72 0x93 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5C 0x7E 0x72 0x93 ... ---- EOF - GMER 1.0.15 ---- und jetzt? |
19.11.2010, 17:37 | #8 |
/// Malware-holic | ijohirewap.dll + updugt32.exe übrigens, wofür wird der rechner eig genutzt? einkäufe, banking etc.?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.11.2010, 18:07 | #9 |
| ijohirewap.dll + updugt32.exe naja, was willst du jetz hören? leider für alles inklusive meine geschäftsabwicklung (selbstständig). banking nur mit chipkartenleser klasse 2. ansonsten email,paypal,und die passwörter auf dem rechner selbst(wawi usw.) seit dem ich von der infektion wusste hatte ich aber bammel die passwörter zu ändern. ausser email und das chipkartenbanking mache ich den rest erstmal mit einem anderen rechner der laut avast und mawb sauber ist. mach mir jetzt blos nich noch mehr angst! |
19.11.2010, 18:10 | #10 |
/// Malware-holic | ijohirewap.dll + updugt32.exe ich würd ihn dann neu aufsetzen und absichern. tipps dazu bekommst du von mir, nur so hast du nen vertrauenswürdiges system! warum hast du auf nem gescheftsrechner keine backup software?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.11.2010, 18:27 | #11 |
| ijohirewap.dll + updugt32.exe ging wohl doch. Geändert von sigi (19.11.2010 um 19:01 Uhr) |
19.11.2010, 18:44 | #12 |
| ijohirewap.dll + updugt32.exe komisch, direkt antworten ging nicht, tipp ich halt nochmal. ja die sache ist die, der rechner wurde leider auch privat genutzt und ist über einen langen zeitraum so gewachsen das man nicht gerne neu aufsetzt. an vielen sachen hab ich ewig gefrickelt bis die so funktionierten wie ichs wollte. updates von windows,adobe,java usw. nerven mich -> abgeschaltet. wenn ich den rechner einschalte will ich loslegen und nicht updaten. ich verdiene mein geld mit autos reparieren und nicht am rechner, obschon ich ihn dazu brauche. ich habe in den letzten tagen bei euch viel dazu gelernt und schmerzlich erfahren wie glatt ich auf diesem sektor bin. aber wie schon gesagt setze ich gerade (parallel zu diesem) einen neuen rechner auf. aber bis auf win7 ist noch nichts drauf. der ist dann nur fürs geschäfft und soll sauber und sicher bleiben. |
19.11.2010, 19:19 | #13 |
/// Malware-holic | ijohirewap.dll + updugt32.exe ja, diese einstellung ist aber, wie du jetzt hoffendlich gemerkt hast falsch. besonders wenn du den pc im geschäftlichem bereich einsetzt, ist, sorry, völlig unwichtig, was du von updates hällst, denn sie haben ihren sinn, es ist unverantwortlich, einen rechner, auf dem auch kundenbezogene daten verwaltet werden, nicht zu upddaten, weil man zu faul ist... ob da nun private sachen drauf sind oder nicht, du wirst nie wieder nen vertrauenswürdiges system erhalten, deswegen bleibt dir keine wahl außer zu formatieren. und wenn man wichtiges auf dem pc hatt, dann nutzt man ne backup software, dann kann man das system in 5 minuten zurück setzen, außerdem, was, wenn der pc mal kaputt ist, bzw die festplatte, ne datenrettung kostet im günstigem fall 500 €, aber eher teurer. für den windows 7 rechner kann ich dir auch tipps geben. außerdem ists ja nicht so, das jeden tag updates rein kommen, windows bringt alle 4 wochen im normal fall welche, und restliche software, da kommt vllt 1 pro woche. das sind 10-15 minuten in der woche
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.11.2010, 20:25 | #14 |
| ijohirewap.dll + updugt32.exe ok, ok, habs ja kapiert deshalb hab ich ja sofort nen neuen rechner zusammengeschraubt. der brauch aber noch ein paar tage bis er den alten ablöst. und keine angst, ich falle bestimmt nicht mehr ins alte verhaltensschema zurück. und die kundendaten,buchführung,bankvorgänge hab ich wöchtl. auf nen stick gebackupt. aber wie siehts nun mit dem alten aus? sind wir soweit durch? bzw mehr geht nicht zu machen? immer noch verseucht? und zu dem neuen hab ich natürlich div. fragen. kann ich die gleich hier posten o. neuen thread? gruß sigi |
22.11.2010, 11:07 | #15 |
/// Malware-holic | ijohirewap.dll + updugt32.exe der alte pc muss formatiert werden. deine fragen zum neuen kannst du hier stellen :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu ijohirewap.dll + updugt32.exe |
adobe, antivirus, avast, avast!, bho, browser, dateien, einstellungen, explorer, firefox.exe, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kis, messenger, micro, microsoft, mozilla, programme, scan, schädlinge, software, stick, system, windows, windows xp |