| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.11.2010, 23:22
| #1 |
 |  Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Hallo alle Zusammen, heute meldete der Anti-Viren Guard den TR/PSW.LdPinch.L.. Ich habe auf "löschen" geklickt. Beim anschließenden Virenscan mit Avira Antivir personal wurde dann noch JAVA/Agent.2212 gefunden. Auch ihn habe ich gelöscht. Ist mein Computer nun wieder sicher? ICh bin nicht gerade ein Computerspezialist, aber ich habe gehöhrt, dass das Löschen den Trojaner etc. nicht immer sicher entfernt, bzw dass vorher schon beträchtlicher Schaden entstanden seien kann. Daher habe ich mal die ganzen Log Files erstellt. Könnt ihr mir sagen, ob da etwas nicht stimmt? Große Probleme hatte ich bissher eigendlich nicht. Aber ein paar Dinge waren auffällig. (Bitte nicht lachen, ich drücke es mal mit meinen Laienworten aus.) In letzter Zeit hatte ich ein paar kleinere Probleme. z.B. ist war mein Computer mehrmals von einem Moment zum anderen wie "eingefroren". er reagierte überhaupt auf nichts mehr. Ich mußte ihn ganz vom Strom nehmen, damit wieder alles lief. Dann ist er manchmal plötzlich extrem langsam. Da hilft dann auch nur runterfahren und neu starten. Ja und ungewöhnlich war auch, dass ich schon länger keinerlei Aktion am Computer mehr gemacht hatte, und dann fing er plötzlich extrem an zu arbeiten, ohne dass ich irgendwas gemacht habe. so, dann mal die fils: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5176
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
23.11.2010 15:49:11
mbam-log-2010-11-23 (15-49-11).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154153
Laufzeit: 9 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:16 on 23/11/2010 (Christiane ****)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-23 19:08:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD5000AAKB-00H8A0 rev.05.04E05
Running: gmer.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kgeyruod.sys
---- System - GMER 1.0.15 ----
SSDT F7A812AE ZwCreateKey
SSDT F7A812A4 ZwCreateThread
SSDT F7A812B3 ZwDeleteKey
SSDT F7A812BD ZwDeleteValueKey
SSDT F7A812C2 ZwLoadKey
SSDT F7A81290 ZwOpenProcess
SSDT F7A81295 ZwOpenThread
SSDT F7A812CC ZwReplaceKey
SSDT F7A812C7 ZwRestoreKey
SSDT F7A812B8 ZwSetValueKey
SSDT F7A8129F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\DRIVERS\mohfilt.sys entry point in "init" section [0xF77E9A60]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter OTL logfile created on: 23.11.2010 20:51:32 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free Paging file location(s): C:\pagefile.sys 756 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 80,01 Gb Total Space | 58,73 Gb Free Space | 73,41% Space Free | Partition Type: NTFS Drive D: | 255,68 Gb Total Space | 252,30 Gb Free Space | 98,68% Space Free | Partition Type: NTFS Drive F: | 130,07 Gb Total Space | 116,21 Gb Free Space | 89,34% Space Free | Partition Type: NTFS Computer Name: CHRISTIA-RB5PVB | User Name: Christiane ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.11.23 14:49:00 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools\OTL.exe PRC - [2010.02.01 22:51:56 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin PRC - [2010.02.01 22:51:52 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.08.09 08:27:52 | 000,073,728 | ---- | M] (HP) -- C:\WINDOWS\system32\HPZipm12.exe PRC - [2007.03.04 21:26:16 | 000,593,920 | ---- | M] (REINER SCT) -- C:\WINDOWS\system32\cjpcsc.exe PRC - [2007.03.04 13:28:40 | 000,020,572 | ---- | M] () -- C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe PRC - [2005.05.27 10:24:52 | 000,147,456 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe PRC - [2005.05.11 23:33:52 | 000,479,232 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe PRC - [2005.04.30 17:02:26 | 000,086,016 | ---- | M] (B.H.A Corporation) -- C:\WINDOWS\system32\bgsvcgen.exe PRC - [2004.02.27 18:29:24 | 000,061,440 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE PRC - [2003.05.14 07:20:00 | 000,055,296 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE ========== Modules (SafeList) ========== MOD - [2010.11.23 14:49:00 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools\OTL.exe MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll MOD - [2008.04.14 03:22:07 | 000,060,416 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cabinet.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt) SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2008.08.29 09:00:30 | 000,033,752 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R) SRV - [2007.08.09 08:27:52 | 000,073,728 | ---- | M] (HP) [Auto | Running] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) SRV - [2007.03.04 21:26:16 | 000,593,920 | ---- | M] (REINER SCT) [Auto | Running] -- C:\WINDOWS\system32\cjpcsc.exe -- (cjpcsc) SRV - [2005.04.30 17:02:26 | 000,086,016 | ---- | M] (B.H.A Corporation) [Auto | Running] -- C:\WINDOWS\system32\bgsvcgen.exe -- (bgsvcgen) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM) ========== Driver Services (SafeList) ========== DRV - [2009.12.07 19:06:45 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2006.06.14 13:37:04 | 000,023,040 | ---- | M] (REINER SCT) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cjusb.sys -- (cjusb) DRV - [2006.01.28 13:58:48 | 000,014,949 | ---- | M] (franson.biz) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\bizVSerialNT.sys -- (bizVSerial) DRV - [2005.11.04 13:39:02 | 000,245,504 | R--- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73) DRV - [2005.05.11 00:33:12 | 000,032,256 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cdrbsdrv.sys -- (cdrbsdrv) DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) DRV - [2004.01.20 22:52:00 | 000,051,493 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctxc53.sys -- (ctxc53) DRV - [2004.01.20 22:51:32 | 001,086,853 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctxc51.sys -- (ctxc51) DRV - [2004.01.20 22:50:36 | 000,619,369 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctxc52.sys -- (ctxc52) DRV - [2004.01.20 22:49:56 | 000,031,472 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mohfilt.sys -- (mohfilt) DRV - [2003.10.14 21:10:00 | 000,036,484 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SMBios.sys -- (SMBios) Intel (R) DRV - [2003.05.14 12:44:00 | 000,740,044 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> O1 HOSTS File: ([2009.12.27 19:28:33 | 000,370,743 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 12778 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) O4 - HKLM..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe (OLYMPUS IMAGING CORP.) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [StarMoneyRunEntry] C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH) O4 - HKLM..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard) O4 - HKLM..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe (Hewlett-Packard) O4 - HKCU..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe (OLYMPUS IMAGING CORP.) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Co.) O4 - Startup: C:\Dokumente und Einstellungen\Christiane *****\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://go.microsoft.com/fwlink/?linkid=58813 (Office Genuine Advantage Validation Tool) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172755329046 (MUWebControl Class) O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} file://C:\TempEI4\EI40_\msxml4.cab (XML DOM Document 4.0) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab (HPSDDX Class) O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class) O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} hxxp://www.lokalisten.de/iup/ImageUploader4.cab (Image Uploader Control) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.03.01 09:03:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.11.23 16:21:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Gmer [2010.11.23 15:38:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.11.23 15:30:08 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2010.11.23 14:55:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Malwarebytes [2010.11.23 14:54:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.11.23 14:54:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.11.23 14:54:38 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.11.23 14:54:38 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.11.23 14:47:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools [2010.11.23 13:34:12 | 000,000,000 | ---D | C] -- C:\Programme\HiJackThis [2010.11.23 10:50:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2010.10.31 09:12:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\elsterformular [2009.06.25 15:29:49 | 002,959,376 | ---- | C] (Microsoft Corporation) -- C:\Programme\dotnetfx35setup.exe [2008.06.16 11:56:40 | 066,423,096 | ---- | C] ( ) -- C:\Programme\gimp-help-2-2.4.0-setup.exe [2008.06.16 10:58:41 | 017,950,304 | ---- | C] ( ) -- C:\Programme\gimp-2.4.6-i686-setup.exe ========== Files - Modified Within 30 Days ========== [2010.11.23 20:47:05 | 000,000,214 | ---- | M] () -- C:\WINDOWS\tasks\backup.job [2010.11.23 20:47:04 | 000,000,442 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{5A24FF90-891C-48A3-863E-E92601F68117}.job [2010.11.23 16:16:03 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\defogger_reenable [2010.11.23 15:30:09 | 000,000,597 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\NTREGOPT.lnk [2010.11.23 15:30:09 | 000,000,578 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\ERUNT.lnk [2010.11.23 15:21:49 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.23 15:20:58 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2010.11.23 15:20:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.23 14:54:46 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.23 14:47:45 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\defogger.exe [2010.11.23 14:47:44 | 000,288,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Gmer.zip [2010.11.23 14:44:17 | 000,471,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Load.exe [2010.11.23 08:26:10 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Microsoft Office Outlook 2003.lnk [2010.11.15 11:52:27 | 000,000,043 | ---- | M] () -- C:\WINDOWS\hpfccopy.INI [2010.11.13 12:20:01 | 000,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.10.31 09:04:04 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk [2010.10.31 08:03:16 | 000,462,570 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.10.31 08:03:16 | 000,444,276 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.10.31 08:03:16 | 000,085,592 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.10.31 08:03:16 | 000,072,152 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat ========== Files Created - No Company Name ========== [2010.11.23 16:16:03 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\defogger_reenable [2010.11.23 15:30:09 | 000,000,597 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\NTREGOPT.lnk [2010.11.23 15:30:09 | 000,000,578 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\ERUNT.lnk [2010.11.23 14:54:46 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.23 14:47:45 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\defogger.exe [2010.11.23 14:47:41 | 000,288,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Gmer.zip [2010.11.23 14:44:12 | 000,471,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Desktop\Load.exe [2010.10.31 09:04:04 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk [2009.06.25 16:05:46 | 020,834,304 | ---- | C] () -- C:\Programme\setup-KingBill-2009.msi [2008.06.07 16:47:50 | 000,000,591 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini [2008.06.07 16:47:33 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\SerialXP.dll [2008.06.07 16:47:33 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\win32com.dll [2008.04.16 16:59:49 | 000,000,385 | ---- | C] () -- C:\WINDOWS\hpbvspst.ini [2007.11.10 21:08:39 | 000,003,174 | ---- | C] () -- C:\WINDOWS\tm.ini [2007.10.30 16:10:15 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini [2007.10.30 16:08:55 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI [2007.10.23 14:50:16 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll [2007.10.23 14:47:02 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2007.10.23 14:44:46 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2007.10.23 14:44:28 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2007.09.06 12:04:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpqEmlSz.INI [2007.07.31 09:31:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\distlib.ini [2007.05.13 21:08:40 | 000,000,037 | ---- | C] () -- C:\WINDOWS\TemplateWizard.INI [2007.04.04 10:25:31 | 000,000,043 | ---- | C] () -- C:\WINDOWS\hpfccopy.INI [2007.03.05 15:35:46 | 000,000,234 | ---- | C] () -- C:\WINDOWS\PrnHlpLogConfig.ini [2007.03.05 15:34:55 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_InstantSHareJPG.ini [2007.03.05 15:30:02 | 000,000,217 | ---- | C] () -- C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini [2007.03.05 15:28:50 | 000,000,221 | ---- | C] () -- C:\WINDOWS\HP_RedboxHprblog_HPSU.ini [2007.03.05 13:34:28 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL [2007.03.04 14:53:16 | 000,000,134 | ---- | C] () -- C:\WINDOWS\uno.ini [2007.03.04 14:53:16 | 000,000,056 | ---- | C] () -- C:\WINDOWS\sversion.ini [2007.03.04 14:53:15 | 000,000,532 | ---- | C] () -- C:\WINDOWS\cp8icc32.ini [2007.03.04 14:02:33 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.03.04 13:29:41 | 000,074,752 | ---- | C] () -- C:\WINDOWS\System32\jst.dll [2007.03.04 13:29:41 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\PMLJNI.dll [2007.03.04 13:26:03 | 000,001,020 | ---- | C] () -- C:\WINDOWS\hpbvnstp.ini [2007.03.04 13:25:48 | 000,192,512 | R--- | C] () -- C:\WINDOWS\System32\HPB1320V.DLL [2007.03.04 13:24:59 | 000,000,356 | ---- | C] () -- C:\WINDOWS\hplj1320.ini [2007.03.04 13:21:00 | 000,000,150 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2007.03.04 13:10:22 | 000,004,404 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log [2007.03.01 14:39:26 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.03.01 14:33:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll [2007.03.01 12:05:43 | 000,122,897 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log [2007.03.01 12:05:43 | 000,027,867 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR [2007.03.01 12:05:43 | 000,012,423 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\PatchUpdate_IZClosingDiscError.log [2007.03.01 12:05:43 | 000,009,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\PatchUpdate_InstantShareJPG.log [2007.03.01 12:05:43 | 000,002,769 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\PatchUpdate_HP_ISRegionListUpdatelog_HPSU.log [2007.03.01 12:05:43 | 000,001,109 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log [2007.03.01 12:05:43 | 000,000,077 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\sversion.ini [2007.03.01 12:05:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\HelpFilesUpdatePatch_HELPFILEREPLACE.log [2007.03.01 10:59:42 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.03.01 10:24:59 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini [2007.03.01 08:55:26 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2006.09.21 13:53:28 | 000,282,679 | ---- | C] () -- C:\WINDOWS\System32\dnt27.dll [2006.09.21 13:52:24 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27.dll [2006.09.21 13:52:14 | 000,077,881 | ---- | C] () -- C:\WINDOWS\System32\dntvm27.dll [2004.05.24 13:05:46 | 000,287,744 | ---- | C] () -- C:\WINDOWS\System32\uno364mi.dll [2004.05.24 13:05:46 | 000,109,568 | ---- | C] () -- C:\WINDOWS\System32\vos364mi.dll [2004.05.24 13:05:46 | 000,091,648 | ---- | C] () -- C:\WINDOWS\System32\osl364mi.dll [2004.05.24 12:46:00 | 000,000,115 | ---- | C] () -- C:\WINDOWS\ReaderConfig.ini [2003.10.07 15:52:18 | 000,000,596 | ---- | C] () -- C:\WINDOWS\dx.ini [2003.04.02 13:00:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\olethk32.dll [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2001.07.31 11:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2000.12.04 21:27:06 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\W32MKRC.DLL [1999.05.14 16:05:22 | 000,015,627 | ---- | C] () -- C:\WINDOWS\System32\WBROLLRS.DLL ========== LOP Check ========== [2008.02.10 14:56:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve [2010.10.31 09:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2008.02.10 15:03:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lexware [2009.12.27 15:27:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Acronis [2008.02.13 17:00:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\DataDesign [2010.10.31 09:12:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\elsterformular [2009.08.09 09:32:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\gtk-2.0 [2008.02.10 15:01:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Lexware [2007.11.02 09:21:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\OfficeUpdate12 [2007.09.13 11:18:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\OLYMPUS [2010.03.21 10:17:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\OpenOffice.org [2010.11.23 20:47:05 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\backup.job [2010.11.23 20:47:04 | 000,000,442 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{5A24FF90-891C-48A3-863E-E92601F68117}.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2007.03.01 09:03:04 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2007.03.01 09:48:01 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2003.04.02 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2007.03.01 09:03:04 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2010.09.30 16:39:28 | 000,000,000 | ---- | M] () -- C:\ctapi_out_gr.txt [2009.12.27 19:28:28 | 010,952,234 | ---- | M] () -- C:\immudebug.log [2007.03.01 09:03:05 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2007.03.01 09:03:05 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2007.03.01 09:44:08 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2008.09.13 08:42:12 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.11.23 15:20:27 | 792,723,456 | -HS- | M] () -- C:\pagefile.sys [2010.11.23 15:22:42 | 000,006,552 | ---- | M] () -- C:\statusclient.log < %systemroot%\system32\*.wt > < %systemroot%\system32\*.ruy > < %systemroot%\Fonts\*.com > [2006.04.18 14:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont [2006.06.29 13:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont [2006.04.18 14:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont [2006.06.29 13:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont < %systemroot%\Fonts\*.dll > [2005.05.11 22:36:48 | 000,012,288 | ---- | M] (Hewlett-Packard Co.) -- C:\WINDOWS\Fonts\RandFont.dll < %systemroot%\Fonts\*.ini > [2007.03.01 09:02:47 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini < %systemroot%\Fonts\*.ini2 > < %systemroot%\system32\spool\prtprocs\w32x86\*.* > [2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll [2004.04.15 20:43:08 | 000,061,952 | ---- | M] (Hewlett-Packard Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\HPZPP041.DLL [2007.04.09 13:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll [2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe < %systemroot%\REPAIR\*.bak1 > < %systemroot%\REPAIR\*.ini > < %systemroot%\system32\*.jpg > < %systemroot%\*.scr > [2007.12.05 14:47:42 | 000,899,326 | ---- | M] (Irfan Skiljan) -- C:\WINDOWS\Bildschirmschoner Nymphies.scr < %systemroot%\*._sy > < %APPDATA%\Adobe\Update\*.* > < %ALLUSERSPROFILE%\Favorites\*.* > < %APPDATA%\Microsoft\*.* > < %PROGRAMFILES%\*.* > [2009.06.25 15:29:49 | 002,959,376 | ---- | M] (Microsoft Corporation) -- C:\Programme\dotnetfx35setup.exe [2008.06.16 10:58:41 | 017,950,304 | ---- | M] ( ) -- C:\Programme\gimp-2.4.6-i686-setup.exe [2008.06.16 11:56:43 | 066,423,096 | ---- | M] ( ) -- C:\Programme\gimp-help-2-2.4.0-setup.exe [2009.06.25 16:06:11 | 020,834,304 | ---- | M] () -- C:\Programme\setup-KingBill-2009.msi < %APPDATA%\Update\*.* > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2007.03.01 09:53:45 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.03.01 09:53:45 | 000,606,208 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.03.01 09:53:45 | 000,397,312 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\user32.dll /md5 > [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < %systemroot%\system32\ws2_32.dll /md5 > [2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll < %systemroot%\system32\ws2help.dll /md5 > [2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll < MD5 for: EXPLORER.EXE > [2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe [2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe < MD5 for: WINLOGON.EXE > [2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-11-10 22:33:00 < End of report > Code:
ATTFilter OTL Extras logfile created on: 23.11.2010 20:51:32 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 80,01 Gb Total Space | 58,73 Gb Free Space | 73,41% Space Free | Partition Type: NTFS
Drive D: | 255,68 Gb Total Space | 252,30 Gb Free Space | 98,68% Space Free | Partition Type: NTFS
Drive F: | 130,07 Gb Total Space | 116,21 Gb Free Space | 89,34% Space Free | Partition Type: NTFS
Computer Name: CHRISTIA-RB5PVB | User Name: Christiane ****| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe" = C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe:*:Enabled:javaw -- ()
"C:\Programme\Namo\WebEditor 6\bin\WebEditor.exe" = C:\Programme\Namo\WebEditor 6\bin\WebEditor.exe:*:Enabled:Namo WebEditor 6 -- (Sejoong Namo Interactive, Inc.)
"C:\Programme\Namo\WebCanvas\bin\WebCanvas.exe" = C:\Programme\Namo\WebCanvas\bin\WebCanvas.exe:*:Enabled:WebCanvas Application -- (Sejoong Namo Interactive, inc.)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{03B1B42B-F6DE-41d9-8CFF-DC44E895C7A7}" = PhotoGallery
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{09984AEC-6B9F-4ca7-B78D-CB44D4771DA3}" = Destinations
"{17577A7A-DA8C-4EA4-BBC2-1C8BDB5AF641}" = hpg3800
"{1C136BE4-49DE-11D5-8E66-00105A5A0888}" = db dialog
"{1F51A0CA-2BDD-474E-BB90-C7FA8EA78F52}" = ImageMixer VCD/DVD2 for OLYMPUS
"{21DB3D90-D816-4092-A260-CA3F6B55A6DD}" = Sonic_PrimoSDK
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{23A7B376-BBEC-4e76-BBD7-0F155E70D74B}" = CP_Panorama1Config
"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32BDCCB8-9DC8-496d-9DB1-F77510775BDB}" = InstantShareDevices
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36E47DA1-10E1-45d9-8B19-14D19607CDCF}" = CP_CalendarTemplates1
"{539B0A82-CF4A-42CC-A46C-F417099FB0D7}" = Lexware online banking
"{53EE9E42-CECB-4C92-BF76-9CA65DAF8F1C}" = FullDPAppQFolder
"{56EE8B17-8274-418d-89AC-C057C5DB251E}" = RandMap
"{56F8AFC3-FA98-4ff1-9673-8A026CBF85BE}" = WebReg
"{5A01C58E-B0EC-49b9-AD71-7C0468688087}" = CP_Package_Basic1
"{5F26311C-B135-4F7F-B11E-8E650F83651E}" = DeviceFunctionQFolder
"{6009D06E-9E4B-4315-B1FC-5EF923F1954F}" = StarMoney Business 3.0 Deutsche Bank Edition
"{66BA8C26-AFE4-4408-807B-43E76B57EF53}" = SkinsHP1
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{6BB6627C-694F-4FDC-A3E5-C7F4BED4C724}" = DocProc
"{6FBABF2B-2355-4839-91BF-C86D9DB16934}" = Lexware Abschreibungsrechner 2008
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7C1673C5-CC42-4bba-9425-EE25E646CAE7}" = HP Scanjet 3800 series
"{7E27304E-BAA2-4d90-A34E-76641FAFABB4}" = CP_AtenaShokunin1Config
"{7F04B272-E0DD-47E7-8B55-D97483DB0EBD}" = hp LaserJet 1160/1320 series
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A55DFA8-747B-431F-9CF1-E31FD6C94FF2}" = Namo WebUtilities
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{8B50F367-2686-4256-BA05-708B299961DF}" = Lexware Elster
"{8C6027FD-53DC-446D-BB75-CACD7028A134}" = HP Update
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95CBA0F7-C01D-47C0-A749-9B934E197D32}" = Namo WebCanvas
"{97DB378D-9F05-4974-B7BA-AD8B3DD9EB5A}" = Lexware büro easy
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A195B13E-A5E3-4BAF-A995-7F70F445CD06}" = ScannerCopy
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5BB5365-EFB4-44c3-A7E2-EB59B7EFD23D}" = CueTour
"{AAA272AB-298D-477f-B611-D8AE4B91E54B}" = hpg3800QFolder
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.3 - Deutsch
"{B388231D-672A-4169-A3DF-BD80266252AB}" = StarMoney
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B4D279F1-4309-49cc-A4B5-3A0D2E59C7B5}" = PanoStandAlone
"{B6FA7BE5-6C3F-42AF-B3C1-C1F4536920C5}" = Lexware Abschreibungsrechner
"{B8DBED1E-8BC3-4d08-B94A-F9D7D88E9BBF}" = HPSSupply
"{B996AE66-10DB-4ac5-B151-E8B4BFBC42FC}" = BufferChm
"{BA820A24-704B-428D-9904-71A10DAC1372}" = OLYMPUS Master
"{BEDFB0D0-CA1E-4CBA-9664-B25A74019D0C}" = Lexware Info Service
"{C0627CB8-76ED-4F6C-8E13-E2981AF99523}" = Marco Polo TravelRouting Europe 2004
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C506A18C-1469-4678-B094-F4EC9DAE6DB7}" = Scan
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}" = getPlus(R) for Adobe
"{E3F90083-80D4-4b5a-87C7-E97E12F5516D}" = HPProductAssistant
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA103B64-C0E4-4C0E-A506-751590E1653D}" = SolutionCenter
"{EF3FA287-2622-4340-AAF6-0AD29F21A691}" = Namo WebEditor 6
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components
"{FEB6267D-47E0-41DD-99F7-C8C68B9899F3}" = WebSign Basiskomponeten
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"AFPL Ghostscript 8.53" = AFPL Ghostscript 8.53
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Creatix V.9X data fax modem" = Creatix V.9X data fax modem
"ElsterFormular 11.5.1.4843" = ElsterFormular
"ERUNT_is1" = ERUNT 1.1j
"FreePDF_XP" = FreePDF XP (Remove only)
"HijackThis" = HijackThis 2.0.2
"HP Imaging Device Functions" = HP Imaging Device Functions 5.3
"HP Photo & Imaging" = HP Image Zone 5.3
"HP Solution Center & Imaging Support Tools" = HP Solution Center & Imaging Support Tools 5.3
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{BA820A24-704B-428D-9904-71A10DAC1372}" = OLYMPUS Master
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"QuickTime" = QuickTime
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Shop for HP Supplies" = Shop for HP Supplies
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.4.6
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 12.07.2010 05:00:32 | Computer Name = CHRISTIA-RB5PVB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung gswin32c.exe, Version 0.0.0.0, fehlgeschlagenes
Modul gsdll32.dll, Version 0.0.0.0, Fehleradresse 0x001b90e4.
Error - 12.07.2010 05:20:30 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.2.9476.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 12.07.2010 06:18:49 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.2.9476.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 05.09.2010 14:18:40 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OIS.EXE, Version 11.0.8161.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 05.09.2010 14:20:15 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OIS.EXE, Version 11.0.8161.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 12.09.2010 02:33:25 | Computer Name = CHRISTIA-RB5PVB | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 22.09.2010 14:40:40 | Computer Name = CHRISTIA-RB5PVB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul wzcsvc.dll, Version 5.1.2600.5512, Fehleradresse 0x0002d3ae.
Error - 12.11.2010 10:01:22 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8325.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 12.11.2010 10:01:40 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich 1954950771.
Error - 12.11.2010 10:03:26 | Computer Name = CHRISTIA-RB5PVB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8325.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 02.11.2010 13:35:08 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
IOCTL POWER: Kein Medium im Laufwerk.
Error - 09.11.2010 03:43:12 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
IOCTL POWER: Kein Medium im Laufwerk.
Error - 09.11.2010 03:43:31 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
IOCTL POWER: Kein Medium im Laufwerk.
Error - 12.11.2010 03:58:33 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
IOCTL POWER: Kein Medium im Laufwerk.
Error - 12.11.2010 03:58:53 | Computer Name = CHRISTIA-RB5PVB | Source = SCardSvr | ID = 610
Description = Smartcardleser "REINER SCT cyberJack pinpad/e-com USB 52" verweigerte
IOCTL POWER: Kein Medium im Laufwerk.
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "B's Recorder GOLD Library General Service" wurde unerwartet
beendet. Dies ist bereits 1 Mal passiert.
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "Machine Debug Manager" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "cyberJack PC/SC COM Service " wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "Pml Driver HPZ12" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 23.11.2010 10:01:16 | Computer Name = CHRISTIA-RB5PVB | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
< End of report >
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:38:57, on 23.11.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\bgsvcgen.exe C:\WINDOWS\system32\cjpcsc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172755329046 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - hxxp://www.lokalisten.de/iup/ImageUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EA9949E0-7C11-4045-828D-90143CB93F89}: NameServer = 192.168.2.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7480 bytes So, das war alles. Ich hoffe, ich hab alles richtig gemacht und ihr könnt mir sagen, ob alles in Ordnung und mein Computer sicher ist. Liebe Grüße Christiane |
|
24.11.2010, 12:43
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?Zitat:
Hat Malwarebytes tatsächlich nichts gefunden oder hast du nur das Log ohne Funde gepostet?
__________________ |
|
24.11.2010, 15:11
| #3 |
| | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Hallo Cosinus,
__________________danke für deinen Hinweis auf fehlende Angaben! Meintest du das mit Pfad? In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AYM6S7ZQ\12[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.L' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\14.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.L' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Die Datei 'C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce' enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.2212' [virus]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23b0f1.qua' verschoben! 1. JAVA/Agent.2212 Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 23. November 2010 11:59
Es wird nach 3080184 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRISTIA-RB5PVB
Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 15:58:31
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:58:31
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:51:23
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:40:56
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:42:29
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:42:11
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:24:20
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:33:15
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:53:09
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 09:14:58
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 19:44:18
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 19:44:18
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 19:44:18
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 19:44:18
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 19:37:19
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 19:37:23
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 19:37:44
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 19:37:24
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 19:37:26
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 19:37:31
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 07:10:11
VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 07:25:22
VBASE021.VDF : 7.10.14.64 2048 Bytes 22.11.2010 07:25:22
VBASE022.VDF : 7.10.14.65 2048 Bytes 22.11.2010 07:25:22
VBASE023.VDF : 7.10.14.66 2048 Bytes 22.11.2010 07:25:22
VBASE024.VDF : 7.10.14.67 2048 Bytes 22.11.2010 07:25:22
VBASE025.VDF : 7.10.14.68 2048 Bytes 22.11.2010 07:25:23
VBASE026.VDF : 7.10.14.69 2048 Bytes 22.11.2010 07:25:23
VBASE027.VDF : 7.10.14.70 2048 Bytes 22.11.2010 07:25:23
VBASE028.VDF : 7.10.14.71 2048 Bytes 22.11.2010 07:25:23
VBASE029.VDF : 7.10.14.72 2048 Bytes 22.11.2010 07:25:23
VBASE030.VDF : 7.10.14.73 2048 Bytes 22.11.2010 07:25:23
VBASE031.VDF : 7.10.14.75 24576 Bytes 22.11.2010 07:25:24
Engineversion : 8.2.4.112
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:40:50
AESCRIPT.DLL : 8.1.3.47 1294716 Bytes 23.11.2010 07:25:53
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 07:25:48
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 07:25:54
AERDL.DLL : 8.1.9.2 635252 Bytes 21.09.2010 18:35:58
AEPACK.DLL : 8.2.3.11 471416 Bytes 11.10.2010 18:37:24
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 23.11.2010 07:25:48
AEHEUR.DLL : 8.1.2.44 3076471 Bytes 23.11.2010 07:25:46
AEHELP.DLL : 8.1.14.0 246134 Bytes 11.10.2010 18:36:44
AEGEN.DLL : 8.1.4.2 401781 Bytes 23.11.2010 07:25:30
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 07:25:28
AECORE.DLL : 8.1.18.1 196984 Bytes 23.11.2010 07:25:26
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:10:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.11.2009 10:09:25
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 18:08:47
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 15:58:30
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Dienstag, 23. November 2010 11:59
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '64966' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqimzone.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StatusClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cjpcsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '61' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'F:\' <Sysbackup>
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Christiane ****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23b0f1.qua' verschoben!
Ende des Suchlaufs: Dienstag, 23. November 2010 13:16
Benötigte Zeit: 1:10:40 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8529 Verzeichnisse wurden überprüft
594249 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
594247 Dateien ohne Befall
8218 Archive wurden durchsucht
1 Warnungen
2 Hinweise
64966 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Hab gerade nicht mehr Zeit, in ca. einer Stunde schaue ich noch mal Malwarebytes an, ob ich etwas vergessen habe zu posten. Bis später, liebe Grüße Christiane |
|
24.11.2010, 17:08
| #4 | |
| | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? So, da bin ich wieder. Und nun habe ich doch noch etwas über den Fund vom AntiVir Guard gefunden: Code:
ATTFilter 23.11.2010,08:17:02 ---------------------------------------------------------
23.11.2010,08:17:20 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
23.11.2010,08:17:20 AntiVir Guard version: 9.00.01.32, engine version 8.2.4.98, VDF version: 7.10.14.56
23.11.2010,08:17:22 AntiVir Guard wurde aktiviert.
23.11.2010,08:17:22 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
23.11.2010,08:17:22 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
23.11.2010,08:26:20 Update-Auftrag gestartet!
23.11.2010,08:26:33 Aktuelle Engine Version: 8.2.4.112
23.11.2010,08:26:33 Aktuelle Version der VDF-Datei: 7.10.14.75
23.11.2010,10:49:26 [WARNUNG] Ist das Trojanische Pferd TR/PSW.LdPinch.L!
C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Temp\14.tmp
[USER] CHRISTIA-RB5PVB\CHRISTIANE ****
[INFO] Die Datei wird gelöscht!
23.11.2010,10:49:26 [WARNUNG] Ist das Trojanische Pferd TR/PSW.LdPinch.L!
C:\Dokumente und Einstellungen\Christiane ****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AYM6S7ZQ\12[1].exe
[USER] CHRISTIA-RB5PVB\CHRISTIANE **** [INFO] Die Datei wird gelöscht!
23.11.2010,15:19:57 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
23.11.2010,15:20:37 ---------------------------------------------------------
Zitat:
Liebe Grüße Christiane |
|
24.11.2010, 17:43
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Schau mal in Malwarebytes im Reiter Logdatein nach. Für jeden Durchgang gibt es ein Log. Musst du wissen wie viele Durchgänge du mit MBAM schon gemacht hast und ob diese Anzahl mit der der aufgelisteten Logfiles übereinstimmt. Wenn du nur einen Durchgang mit MBAM gemacht hast ist das schon so ok.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
24.11.2010, 17:53
| #6 |
| | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Hallo Arne, O.K. ich habe bisher nur einen Durchgang gemacht. LG Christiane |
|
24.11.2010, 17:55
| #7 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.11.2010, 18:47
| #8 |
| | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Hier das Ergebniss des Vollscans (Aktualisierung habe ich vorher vorgenommen): Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5182
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
24.11.2010 18:40:13
mbam-log-2010-11-24 (18-40-13).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 238332
Laufzeit: 35 Minute(n), 33 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Christiane |
|
24.11.2010, 20:30
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.11.2010, 22:11
| #10 | |
| | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Kurze Zwischenfrage: Zitat:
Soll ich ja oder nein anklicken? LG Christiane |
|
24.11.2010, 22:43
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher? Ja mach das ruhig. Damit wird nur ein backup erzeugt, damit man die gelöschten Einträge aus der Registry notfalls wiederherstellen kann.
__________________ Logfiles bitte immer in CODE-Tags posten |
Linear-Darstellung
