| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "spyware protection", malacuxatx.exe und a0104769.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.12.2010, 15:03
| #16 |
 |  "spyware protection", malacuxatx.exe und a0104769.exe Hallo rea, hier kommen jetzt meine Ergebnisse. 1. PDFCreator Toolbar deinstallieren Erledigt 2. OTL-Fix Bis auf O33 - MountPoints2\U\Shell\AutoRun\command - "" = U:\Install FreeAgent Tools.exe -- [2007.02.09 02:29:48 | 146,041,088 | ---- | M] (Seagate ) durchgeführt. Laufwerk U:\ war nicht eingeschaltet. Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Arcor Online deleted successfully.
File move failed. H:\Autorun.exe scheduled to be moved on reboot.
File move failed. H:\autorun.inf scheduled to be moved on reboot.
File move failed. M:\AUTORUN.INF scheduled to be moved on reboot.
File U:\autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edd7ecc1-8b17-11d9-980a-806d6172696f}\ not found.
File D:\Setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\ not found.
File move failed. H:\Autorun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\U\ deleted successfully.
File U:\Install FreeAgent Tools.exe not found.
C:\WINDOWS\jestertb.dll moved successfully.
C:\WINDOWS\system32\vorbisenc.dll moved successfully.
C:\WINDOWS\system32\OggDS.dll moved successfully.
C:\WINDOWS\system32\vorbis.dll moved successfully.
C:\WINDOWS\system32\Ogg.dll moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: andrea
->Temp folder emptied: 929 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: bibi
->Temp folder emptied: 1000896 bytes
->Temporary Internet Files folder emptied: 1404584 bytes
->FireFox cache emptied: 49271946 bytes
->Flash cache emptied: 456 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 71074972 bytes
User: marco
->Temp folder emptied: 17768751 bytes
->Temporary Internet Files folder emptied: 3559259 bytes
->Java cache emptied: 16768 bytes
->FireFox cache emptied: 85826698 bytes
->Flash cache emptied: 5296 bytes
User: Matthias
->Temp folder emptied: 560949746 bytes
->Temporary Internet Files folder emptied: 63623758 bytes
->Java cache emptied: 7140 bytes
->FireFox cache emptied: 93538789 bytes
->Flash cache emptied: 613 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
User: spieler
->Temp folder emptied: 124780380 bytes
->Temporary Internet Files folder emptied: 4305426 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3668121 bytes
->Flash cache emptied: 405 bytes
User: subchief
->Temp folder emptied: 1359811 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 720379 bytes
User: surfer
->Temp folder emptied: 173257362 bytes
->Temporary Internet Files folder emptied: 143226996 bytes
->Java cache emptied: 14315554 bytes
->FireFox cache emptied: 107143567 bytes
->Flash cache emptied: 1951065 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134431 bytes
%systemroot%\System32 .tmp files removed: 4620951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65961061 bytes
RecycleBin emptied: 119102 bytes
Total Files Cleaned = 1.522,00 mb
Restore point Set: OTL Restore Point (0)
OTL by OldTimer - Version 3.2.18.0 log created on 12242010_105944
Files\Folders moved on Reboot...
File move failed. H:\Autorun.exe scheduled to be moved on reboot.
File move failed. H:\autorun.inf scheduled to be moved on reboot.
File move failed. M:\AUTORUN.INF scheduled to be moved on reboot.
File\Folder C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\~DF9BCE.tmp not found!
File\Folder C:\WINDOWS\temp\ZLT03a0c.TMP not found!
Registry entries deleted on Reboot...
Lief durch nachdem ich alle USB-Sticks schreibbar gemacht hatte. Keine weiteren Fehler gemeldet. 4. Gmer - Rootkitscan Ich habe vor dem Lauf Alcohol52 deinstalliert und evtl den Reboot vergessen. GMER stürzte im ersten Durchlauf mit Blue-Screen ab. Daher gibt es keinen Log für Teil 1 Nach Restart des Rechners neuer Lauf mit folgendem Ergebnis. gespeichert nach dem Scan zu Begin des Gmer-Laufes Enthält weniger Daten als beim ersten Versuch zu sehen waren, das habe ich allerdings nicht gespeichert. GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-24 13:49:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000073 SAMSUNG_SP1614N rev.TM100-30
Running: yp10cbdl.exe; Driver: C:\DOKUME~1\Matthias\LOKALE~1\Temp\uftdqpod.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs VET-REC.SYS
AttachedDevice \FileSystem\Fastfat \Fat VET-REC.SYS
AttachedDevice \FileSystem\Fastfat \Fat VET-FILT.SYS
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- EOF - GMER 1.0.15 ----
Log am Ende des GMER-Laufes Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-24 14:17:18
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000073 SAMSUNG_SP1614N rev.TM100-30
Running: yp10cbdl.exe; Driver: C:\DOKUME~1\Matthias\LOKALE~1\Temp\uftdqpod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xB972DC90]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xB972AB70]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xB9743944]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xB9742760]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xB9742980]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xB9745610]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xB972B180]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xB9744330]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xB9744100]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xB9742080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadDriver [0xB97289C0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xB97444F0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwMapViewOfSection [0xB9745860]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xB972AFD0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xB9741E80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xB9741C40]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xB97447C0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xB972D960]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xB9744A50]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xB972DE40]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xB972B2F0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetSystemInformation [0xB9728830]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xB9743EA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xB9742BB0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwUnloadDriver [0xB9728B70]
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF4E50360, 0x20598D, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB441F300, 0x3AE88, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB6551300, 0x1B7E, 0xE8000020]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs VET-REC.SYS
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \FileSystem\Fastfat \Fat VET-REC.SYS
AttachedDevice \FileSystem\Fastfat \Fat VET-FILT.SYS
---- EOF - GMER 1.0.15 ----
--- --- --- --- --- --- --- --- --- 5. Einstellungen prüfen Einstellungen wurde wie angefordert gesetzt. 6. Virustotal Überprüfung für C:\WINDOWS\system32\DRIVERS\a19346b.sys C:\WINDOWS\System32\Drivers\a19346c.sys konnte nicht erfolgen, da Dateien nicht "mehr" auf dem Rechner zu finden. War aber in der Log-Anzeige des abgrochenen GMER-Laufes zu sehen. Ergebnis für C:\Programme\Familien-Internet\Zeiten\user.exe Code:
ATTFilter Virus Total
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
user.exe
Submission date:
2010-12-24 13:52:13 (UTC)
Current status:
queued (#11) queued (#1) analysing finished
Result:
2/ 43 (4.7%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.24.00 2010.12.23 -
AntiVir 7.11.0.174 2010.12.24 -
Antiy-AVL 2.0.3.7 2010.12.24 -
Avast 4.8.1351.0 2010.12.24 -
Avast5 5.0.677.0 2010.12.24 -
AVG 9.0.0.851 2010.12.24 -
BitDefender 7.2 2010.12.24 -
CAT-QuickHeal 11.00 2010.12.24 -
ClamAV 0.96.4.0 2010.12.24 -
Command 5.2.11.5 2010.12.24 -
Comodo 7172 2010.12.24 -
DrWeb 5.0.2.03300 2010.12.24 -
Emsisoft 5.1.0.1 2010.12.24 -
eSafe 7.0.17.0 2010.12.22 -
eTrust-Vet 36.1.8059 2010.12.24 -
F-Prot 4.6.2.117 2010.12.24 -
F-Secure 9.0.16160.0 2010.12.24 -
Fortinet 4.2.254.0 2010.12.24 -
GData 21 2010.12.24 -
Ikarus T3.1.1.90.0 2010.12.24 -
Jiangmin 13.0.900 2010.12.24 -
K7AntiVirus 9.74.3335 2010.12.24 -
Kaspersky 7.0.0.125 2010.12.24 -
McAfee 5.400.0.1158 2010.12.24 -
McAfee-GW-Edition 2010.1C 2010.12.24 Heuristic.BehavesLike.Win32.Packed.A
Microsoft 1.6402 2010.12.24 -
NOD32 5729 2010.12.24 -
Norman 6.06.12 2010.12.24 -
nProtect 2010-12-24.01 2010.12.24 -
Panda 10.0.2.7 2010.12.24 -
PCTools 7.0.3.5 2010.12.24 -
Prevx 3.0 2010.12.24 -
Rising 22.79.03.04 2010.12.24 -
Sophos 4.60.0 2010.12.24 -
SUPERAntiSpyware 4.40.0.1006 2010.12.24 Trojan.Agent/Gen-SVC[Fake]
Symantec 20101.3.0.103 2010.12.24 -
TheHacker 6.7.0.1.104 2010.12.21 -
TrendMicro 9.120.0.1004 2010.12.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.24 -
VBA32 3.12.14.2 2010.12.23 -
VIPRE 7803 2010.12.24 -
ViRobot 2010.12.24.4218 2010.12.24 -
VirusBuster 13.6.111.0 2010.12.24 -
Additional information
Show all
MD5 : 4f16c9701bacd53aee31c0a166e53eed
SHA1 : 3aed80bb9eba18e3b795d6ff0859d0977a960210
SHA256: ebccc023ed6d4f296d8bd0ab8d626744ba7f32ea06039091aafd9b74b45b64dd
ssdeep: 6144:mlZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76lQBAkHZw4G72:mHLUMuiv9RgfSjAzRty/kH
Zt
File size : 380619 bytes
First seen: 2010-12-24 13:52:13
Last seen : 2010-12-24 13:52:13
TrID:
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..:
original name: n/a
internal name: n/a
file version.: 3, 3, 0, 0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0xB11E0
timedatestamp....: 0x4951FA17 (Wed Dec 24 09:00:07 2008)
machinetype......: 0x14c (I386)
[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x71000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x72000, 0x40000, 0x3F400, 7.93, db8a796fd7f4d2a7353b4edf390e6cb6
.rsrc, 0xB2000, 0xB000, 0xA400, 6.09, c04541cd1078287933840144206eef72
[[ 16 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
ADVAPI32.dll: AddAce
COMCTL32.dll: ImageList_Remove
COMDLG32.dll: GetSaveFileNameW
GDI32.dll: BitBlt
MPR.dll: WNetGetConnectionW
ole32.dll: CoInitialize
OLEAUT32.dll: -
PSAPI.DLL: EnumProcesses
SHELL32.dll: DragFinish
USER32.dll: GetDC
USERENV.dll: LoadUserProfileW
VERSION.dll: VerQueryValueW
WININET.dll: FtpOpenFileW
WINMM.dll: timeGetTime
WSOCK32.dll: -
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 262144
CompiledScript: AutoIt v3 Script : 3, 3, 0, 0
EntryPoint: 0xb11e0
FileDescription:
FileFlagsMask: 0x0017
FileOS: Win32
FileSize: 372 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 3, 3, 0, 0
FileVersionNumber: 3.3.0.0
ImageVersion: 0.0
InitializedDataSize: 45056
LanguageCode: English (British)
LinkerVersion: 9.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 5.0
ObjectFileType: Unknown
PEType: PE32
ProductVersionNumber: 3.3.0.0
Subsystem: Windows GUI
SubsystemVersion: 5.0
TimeStamp: 2008:12:24 10:00:07+01:00
UninitializedDataSize: 462848
Symantec reputation:Suspicious.Insight
VT Community
0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
Ich werde jetzt Schluss machen für heute und wünsche ein paar schöne Feiertage. Tschüß Matthias |
|
24.12.2010, 17:02
| #17 |
| /// Helfer-Team  | "spyware protection", malacuxatx.exe und a0104769.exe Okay, die folgende Datei solltest du dann bitte ebenfalls noch bei Virustotal hochladen und überprüfen lassen:
__________________Code:
ATTFilter C:\WINDOWS\system32\drivers\atapi.sys
C:\Programme\Familien-Internet Wann hast du das Programm installiert und benötigst du es? Was kannst du mir sonst dazu sagen? Ich benötige dann nochmal zwei neue Logfiles von OTL: 1.) Systemscan mit OTL
Ich wünsche ebenfalls frohe Festtage und bis dann 
__________________ |
|
25.12.2010, 20:05
| #18 |
| | "spyware protection", malacuxatx.exe und a0104769.exe Hallo rea,
__________________hier sind die gewünschten Infos. 1. VirusTotal für C:\WINDOWS\system32\drivers\atapi.sys Code:
ATTFilter
Virus Total
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
6 VT Community user(s) with a total of 1889 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 1 reputation credit(s) say(s) this sample is malware.
File name:
atapi.sys
Submission date:
2010-12-25 18:37:24 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)
VT Community
goodware
Safety score: 99.9%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.25.00 2010.12.24 -
AntiVir 7.11.0.175 2010.12.25 -
Antiy-AVL 2.0.3.7 2010.12.25 -
Avast 4.8.1351.0 2010.12.25 -
Avast5 5.0.677.0 2010.12.25 -
AVG 9.0.0.851 2010.12.25 -
BitDefender 7.2 2010.12.25 -
CAT-QuickHeal 11.00 2010.12.25 -
ClamAV 0.96.4.0 2010.12.25 -
Command 5.2.11.5 2010.12.25 -
Comodo 7182 2010.12.25 -
DrWeb 5.0.2.03300 2010.12.25 -
Emsisoft 5.1.0.1 2010.12.25 -
eSafe 7.0.17.0 2010.12.22 -
eTrust-Vet 36.1.8060 2010.12.24 -
F-Prot 4.6.2.117 2010.12.25 -
F-Secure 9.0.16160.0 2010.12.25 -
Fortinet 4.2.254.0 2010.12.25 -
GData 21 2010.12.25 -
Ikarus T3.1.1.90.0 2010.12.25 -
Jiangmin 13.0.900 2010.12.25 -
K7AntiVirus 9.74.3335 2010.12.24 -
Kaspersky 7.0.0.125 2010.12.25 -
McAfee 5.400.0.1158 2010.12.25 -
McAfee-GW-Edition 2010.1C 2010.12.25 -
Microsoft 1.6402 2010.12.25 -
NOD32 5731 2010.12.25 -
Norman 6.06.12 2010.12.24 -
nProtect 2010-12-25.01 2010.12.25 -
Panda 10.0.2.7 2010.12.25 -
PCTools 7.0.3.5 2010.12.25 -
Prevx 3.0 2010.12.25 -
Rising 22.79.04.00 2010.12.25 -
Sophos 4.60.0 2010.12.25 -
SUPERAntiSpyware 4.40.0.1006 2010.12.25 -
Symantec 20101.3.0.103 2010.12.25 -
TheHacker 6.7.0.1.105 2010.12.25 -
TrendMicro 9.120.0.1004 2010.12.25 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.25 -
VBA32 3.12.14.2 2010.12.24 -
VIPRE 7821 2010.12.25 -
ViRobot 2010.12.25.4220 2010.12.25 -
VirusBuster 13.6.112.0 2010.12.25 -
Additional information
Show all
MD5 : 9f3a2f5aa6875c72bf062c712cfa2674
SHA1 : a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1KbDD0uu:MQ+N7
4vkEZIxMohjsimBoDTRMBwFktZu
File size : 96512 bytes
First seen: 2009-01-14 22:53:16
Last seen : 2010-12-25 18:37:24
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x159F7
timedatestamp....: 0x4802539D (Sun Apr 13 18:40:29 2008)
machinetype......: 0x14c (I386)
[[ 9 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x380, 0x97BA, 0x9800, 6.45, 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE, 0x9B80, 0x18E8, 0x1900, 6.48, c74a833abd81cc5d037de168e055ad29
.rdata, 0xB480, 0xA64, 0xA80, 4.31, 8523651899e28819a14bf9415af25708
.data, 0xBF00, 0xD94, 0xE00, 0.45, 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN, 0xCD00, 0x157F, 0x1580, 6.20, dc4c309c4db9576daa752fdd125fccf9
PAGE, 0xE280, 0x61DA, 0x6200, 6.46, 40b83d4d552384e58a03517a98eb4863
INIT, 0x14480, 0x22BE, 0x2300, 6.47, 906462abc478368424ea462d5868d2e3
.rsrc, 0x16780, 0x3E0, 0x400, 3.36, 8fd2d82e745b289c28bc056d3a0d62ab
.reloc, 0x16B80, 0xD20, 0xD80, 6.39, ce2b0898cc0e40b618e5df9099f6be45
[[ 3 import(s) ]]
ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
WMILIB.SYS: WmiSystemControl, WmiCompleteRequest
VT Community
10
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-20 16:47:10 (UTC)
I've just uploaded matching files to this from 2 different Windows PCs.
One I was suspicious about and one I wasn't.
I would have to say "False Positive".
Tags: Goodware, rootkit
Was this comment helpful? Yes (1) | No (0) | Report abuse Reported as abuseful
User:
gbarbato
Reputation:
6 credits
Comment date:
2010-09-23 13:18:08 (UTC)
Confirmed against 3 standard loads of XP. This is the atapi drivers for windows xp sp3 official from microsoft. eSafe is a false positive.
Tags: Goodware, rootkit
Was this comment helpful? Yes (1) | No (0) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-10-09 11:46:06 (UTC)
This sample is goodware. It's not a TDL3 infected file.
eSafe sucks.
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful
User:
bolzano_1989
Reputation:
1061 credits
Comment date:
2010-10-09 11:47:18 (UTC)
This sample is goodware. It's not a TDL3 infected file.
eSafe sucks.
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful
User:
siri
Reputation:
819 credits
Comment date:
2010-10-13 15:34:14 (UTC)
Legit (not PE infected file)
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-08 23:56:58 (UTC)
eSafe suck
Tags: rootkit
Was this comment helpful? Yes (1) | No (1) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-09 22:00:54 (UTC)
tdl3 infected version
Tags: Malware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-12 22:30:23 (UTC)
atapi.sys is a good file, not rootkit (eSafe suck). It is a good file only if his location is c:\windows\system32\drivers\atapi.sys.
It is a windows file. If you don't believe me please go to this link : hxxp://www.microsoft.com/downloads/en/confirmation.aspx?FamilyId=5B33B5A8-5E76-401F-BE08-1E1555D4F3D4&displaylang=en and download service pack 3 for windows xp. Extract this file with winrar, and then search for a file named " atapi.sy_ ". After you found this file please upload it to www.virustotal.com.
Surprise ! eSafe sees this file as a "Win32.Rootkit"
You can extract " atapi.sy_ " (with winrar) , and then you get the original " atapi.sys" file. Please upload this file too.
Surprise ! eSafe sees this file as a "Win32.Rootkit"
I mentioned that I used ubuntu for this operation ? (winrar on wine platform) ....to remove any doubt.
Tags: rootkit
Was this comment helpful? Yes (0) | No (1) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-18 23:05:50 (UTC)
this file infected by BackDoor.TDSS.565 or modification, eSafe can see it
Tags: rootkit
Was this comment helpful? Yes (1) | No (1) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-20 01:02:32 (UTC)
This file is from Windows from official distributive disk. LOL (Windows xp prof service pack 3)
Bill Gates put Win32.Rootkits in it :))
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse
VT Community
10
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-09-20 16:47:10 (UTC)
I've just uploaded matching files to this from 2 different Windows PCs.
One I was suspicious about and one I wasn't.
I would have to say "False Positive".
Tags: Goodware, rootkit
Was this comment helpful? Yes (1) | No (0) | Report abuse Reported as abuseful
User:
gbarbato
Reputation:
6 credits
Comment date:
2010-09-23 13:18:08 (UTC)
Confirmed against 3 standard loads of XP. This is the atapi drivers for windows xp sp3 official from microsoft. eSafe is a false positive.
Tags: Goodware, rootkit
Was this comment helpful? Yes (1) | No (0) | Report abuse Reported as abuseful
User:
Anonymous
Reputation:
1 credits
Comment date:
2010-10-09 11:46:06 (UTC)
This sample is goodware. It's not a TDL3 infected file.
eSafe sucks.
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful
User:
bolzano_1989
Reputation:
1061 credits
Comment date:
2010-10-09 11:47:18 (UTC)
This sample is goodware. It's not a TDL3 infected file.
eSafe sucks.
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful
User:
siri
Reputation:
819 credits
Comment date:
2010-10-13 15:34:14 (UTC)
Legit (not PE infected file)
Tags: Goodware, rootkit
Was this comment helpful? Yes (0) | No (0) | Report abuse
Das Programm habe ich installiert. Es stellt Funktionaltäten zur Beschränkung von Internetzugängen unter XP zur Verfügung. Diese Funktionalitäten gibt wohl in Vista und sind hier nachgebildet soweit es geht. Die Quelle ist hier : hxxp://www.tolldrio.de Der Entwickler wirkte auf mich vertrauenswürdig, als ich ihn kennengelernt habe. 3. Neuer OTL-Scan OTL Logfile: Code:
ATTFilter OTL logfile created on: 25.12.2010 19:11:11 - Run 4 OTL by OldTimer - Version 3.2.18.0 Folder = C:\Dokumente und Einstellungen\M\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 601,00 Mb Available Physical Memory | 59,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2048 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 79,02 Gb Free Space | 53,02% Space Free | Partition Type: NTFS Drive U: | 465,76 Gb Total Space | 25,98 Gb Free Space | 5,58% Space Free | Partition Type: NTFS Computer Name: NUMMER1 | User Name: M | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.12.22 18:09:13 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M\Desktop\OTL.exe PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.01.14 10:48:30 | 001,144,032 | ---- | M] (Memeo Inc.) -- C:\Programme\Seagate\AutoBackup\MemeoBackup.exe PRC - [2006.03.16 10:33:12 | 001,693,464 | ---- | M] (Zone Labs, LLC) -- C:\WINDOWS\system32\ZoneLabs\vsmon.exe PRC - [2005.06.23 15:57:12 | 000,188,416 | ---- | M] (Computer Associates International, Inc.) -- C:\WINDOWS\system32\ZoneLabs\isafe.exe PRC - [2004.12.03 07:28:00 | 000,217,088 | ---- | M] (CASIO COMPUTER CO.,LTD.) -- C:\Programme\CASIO\Photo Loader\Plauto.exe PRC - [2004.06.29 03:47:28 | 000,114,688 | ---- | M] (InterVideo Inc.) -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe PRC - [2003.05.29 08:51:28 | 000,598,016 | ---- | M] (ashampoo GmbH & Co. KG) -- C:\Programme\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe ========== Modules (SafeList) ========== MOD - [2010.12.22 18:09:13 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M\Desktop\OTL.exe MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt) SRV - [2006.03.16 10:33:12 | 001,693,464 | ---- | M] (Zone Labs, LLC) [Auto | Running] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2005.06.23 15:57:12 | 000,188,416 | ---- | M] (Computer Associates International, Inc.) [On_Demand | Running] -- C:\WINDOWS\system32\ZoneLabs\isafe.exe -- (CAISafe) SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\install4\MSICPL.sys -- (MSICPL) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - [2010.03.12 11:07:44 | 000,278,984 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2010.03.09 19:58:18 | 000,025,416 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2008.08.01 14:27:35 | 000,099,648 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD) DRV - [2008.07.21 13:11:58 | 000,024,392 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys -- (ElbyCDIO) DRV - [2008.04.13 23:26:50 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (fwrnusb) DRV - [2007.10.18 19:57:09 | 000,896,472 | ---- | M] (Computer Associates International, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\vetmonnt.sys -- (VETMONNT) DRV - [2007.10.18 19:57:09 | 000,114,856 | ---- | M] (Computer Associates International, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\vetfddnt.sys -- (VETFDDNT) DRV - [2007.02.16 01:56:49 | 000,011,984 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ElbyDelay.sys -- (ElbyDelay) DRV - [2006.12.26 13:54:35 | 000,034,760 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL) DRV - [2006.06.04 20:09:43 | 000,009,856 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc) DRV - [2006.03.16 10:33:00 | 000,372,824 | ---- | M] (Zone Labs, LLC) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2005.12.10 03:06:00 | 003,536,768 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2005.05.13 17:53:24 | 000,021,605 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\vet-filt.sys -- (VET-FILT) DRV - [2005.05.13 17:53:24 | 000,015,668 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\vet-rec.sys -- (VET-REC) DRV - [2005.04.09 20:28:51 | 000,016,512 | ---- | M] (Adaptec) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (Aspi32) DRV - [2004.12.07 09:15:54 | 000,087,936 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys -- (nvatabus) DRV - [2004.12.01 13:40:08 | 002,300,928 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2004.11.24 10:42:48 | 000,012,928 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2004.11.24 10:42:46 | 000,033,408 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2004.10.21 04:39:44 | 000,035,840 | R--- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8) DRV - [2004.07.21 11:02:00 | 000,166,400 | ---- | M] (Silicon Image, Inc) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Si3114r5.sys -- (Si3114r5) DRV - [2004.06.24 07:38:42 | 000,191,360 | R--- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\M2500.sys -- (M2500) DRV - [2004.06.16 00:14:00 | 000,180,480 | R--- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp) DRV - [2003.10.15 10:28:00 | 000,010,240 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys -- (SiFilter) DRV - [1997.10.08 02:04:06 | 000,006,816 | ---- | M] (3Dfx Interactive, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\MAPMEM.SYS -- (MapMem) DRV - [1997.10.08 02:04:06 | 000,006,336 | ---- | M] (3Dfx Interactive, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\NTREMAP.SYS -- (NTRemap) DRV - [1997.10.08 02:04:06 | 000,004,832 | ---- | M] (3Dfx Interactive, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\genport.sys -- (GenPort) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.tolldrio.de/start/" FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.1.20091029021655 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.22 18:05:20 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.22 18:05:20 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.3\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.03.06 23:05:47 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.3\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.01.17 13:20:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Mozilla\Extensions [2010.01.17 13:20:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.12.23 22:02:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Mozilla\Firefox\Profiles\he3cd1ow.default\extensions [2010.09.17 21:30:13 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Mozilla\Firefox\Profiles\he3cd1ow.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.05.20 21:19:33 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Mozilla\Firefox\Profiles\he3cd1ow.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2010.11.21 12:27:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Mozilla\Firefox\Profiles\he3cd1ow.default\extensions\de-DE@dictionaries.addons.mozilla.org [2010.12.23 22:02:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.01.17 13:11:40 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2010.10.28 22:20:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.10.28 22:20:00 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.10.28 22:20:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.10.28 22:20:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.10.28 22:20:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2002.12.31 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - No CLSID value found. O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKCU..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe (SlySoft, Inc.) O4 - HKCU..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe (ashampoo GmbH & Co. KG) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Antivirus-Profi-Paket.lnk = C:\Programme\Antivirus-Profi-Paket\avk.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (InterVideo Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe (CASIO COMPUTER CO.,LTD.) O4 - Startup: C:\Dokumente und Einstellungen\M\Startmenü\Programme\Autostart\AutoBackup Launcher.lnk = C:\Programme\Seagate\AutoBackup\MemeoLauncher.exe (Memeo Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 36 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF FF [binary data] O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\ZoneLabs\vetredir.dll (Computer Associates International, Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\System32\ZoneLabs\vetredir.dll (Computer Associates International, Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\System32\ZoneLabs\vetredir.dll (Computer Associates International, Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINDOWS\System32\ZoneLabs\vetredir.dll (Computer Associates International, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_04) O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab (Java Plug-in 1.5.0_01) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\M\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\M\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2005.03.02 13:48:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.12.24 11:28:47 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2006.11.30 06:45:30 | 000,000,132 | ---- | M] () - U:\autorun.inf -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.12.24 11:28:47 | 000,000,000 | RHSD | C] -- C:\autorun.inf [2010.12.24 10:59:44 | 000,000,000 | ---D | C] -- C:\_OTL [2010.12.22 18:09:02 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M\Desktop\OTL.exe [2010.12.21 16:03:09 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.12.20 22:17:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Malwarebytes [2010.12.20 22:17:35 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.12.20 22:17:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.12.20 22:17:08 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.12.20 22:17:08 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.12.15 16:17:08 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys [2010.12.15 16:15:21 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe ========== Files - Modified Within 30 Days ========== [2010.12.25 19:09:11 | 000,000,083 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2010.12.25 19:09:08 | 000,043,518 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.12.25 19:09:06 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.12.25 18:41:43 | 000,004,212 | -H-- | M] () -- C:\WINDOWS\System32\zllictbl.dat [2010.12.25 18:41:40 | 000,042,715 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml [2010.12.25 18:40:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.12.24 11:00:05 | 000,000,300 | ---- | M] () -- C:\WINDOWS\Brownie.ini [2010.12.23 22:58:12 | 000,000,321 | ---- | M] () -- C:\Dokumente und Einstellungen\M\Eigene Dateien\Eigene Dateien.lnk [2010.12.23 22:08:59 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\M\Desktop\yp10cbdl.exe [2010.12.23 22:08:19 | 000,132,597 | ---- | M] () -- C:\Dokumente und Einstellungen\M\Desktop\Flash_Disinfector.exe [2010.12.22 18:09:13 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\M\Desktop\OTL.exe [2010.12.22 13:38:11 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\sversion.ini [2010.12.22 13:31:28 | 000,000,015 | ---- | M] () -- C:\WINDOWS\WDZ3.ini [2010.12.22 12:50:29 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.12.21 22:21:56 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI [2010.12.21 16:03:10 | 000,001,990 | ---- | M] () -- C:\Dokumente und Einstellungen\M\Desktop\HiJackThis.lnk [2010.12.20 21:06:29 | 000,459,500 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.12.20 21:06:29 | 000,441,568 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.12.20 21:06:29 | 000,084,644 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.12.20 21:06:29 | 000,071,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.12.19 22:09:08 | 000,035,691 | ---- | M] () -- C:\Dokumente und Einstellungen\M\Desktop\defender.odt [2010.12.15 19:29:33 | 000,145,216 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.12.15 17:54:56 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK ========== Files Created - No Company Name ========== [2010.12.23 22:58:12 | 000,000,321 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Eigene Dateien\Eigene Dateien.lnk [2010.12.23 22:08:50 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Desktop\yp10cbdl.exe [2010.12.23 22:08:12 | 000,132,597 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Desktop\Flash_Disinfector.exe [2010.12.21 16:03:10 | 000,001,990 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Desktop\HiJackThis.lnk [2010.12.20 22:17:35 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.12.19 22:09:07 | 000,035,691 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Desktop\defender.odt [2010.11.12 21:46:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2010.11.12 21:46:53 | 000,000,142 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI [2010.11.12 21:46:50 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2010.11.12 21:46:49 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini [2010.11.12 21:46:48 | 000,009,868 | ---- | C] () -- C:\WINDOWS\HL-2150N.INI [2010.11.12 21:28:31 | 000,000,300 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2010.03.09 19:58:18 | 000,278,984 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2010.03.09 19:58:18 | 000,025,416 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2010.02.14 19:16:37 | 000,000,175 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2009.04.24 22:26:33 | 000,000,065 | ---- | C] () -- C:\WINDOWS\FISHUI.INI [2009.04.19 13:39:14 | 000,000,046 | ---- | C] () -- C:\WINDOWS\hmview.ini [2009.03.15 22:02:08 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009.01.10 21:11:46 | 000,000,083 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2008.01.30 19:55:51 | 000,000,160 | ---- | C] () -- C:\WINDOWS\G403ko_K.INI [2008.01.30 19:53:32 | 000,000,162 | ---- | C] () -- C:\WINDOWS\G403te_K.INI [2008.01.30 19:50:06 | 000,000,177 | ---- | C] () -- C:\WINDOWS\G403me_K.INI [2008.01.30 19:42:31 | 000,000,173 | ---- | C] () -- C:\WINDOWS\G403er_K.INI [2008.01.30 19:42:09 | 000,375,296 | ---- | C] () -- C:\WINDOWS\System32\tx32.dll [2008.01.30 19:42:09 | 000,000,202 | ---- | C] () -- C:\WINDOWS\System32\IC32.INI [2007.07.17 21:34:47 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.09.10 11:28:36 | 000,000,061 | ---- | C] () -- C:\WINDOWS\System32\wdz4.ini [2006.09.07 20:06:39 | 000,021,605 | ---- | C] () -- C:\WINDOWS\System32\drivers\vet-filt.sys [2006.09.07 20:06:39 | 000,015,668 | ---- | C] () -- C:\WINDOWS\System32\drivers\vet-rec.sys [2006.09.07 20:06:39 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\vetntmsg.dll [2006.06.02 19:20:41 | 000,000,136 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2006.06.02 19:18:35 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL [2006.03.14 21:11:18 | 000,000,503 | ---- | C] () -- C:\WINDOWS\System32\FeMakro.ini [2006.03.14 21:11:18 | 000,000,497 | ---- | C] () -- C:\WINDOWS\System32\FeAnim.ini [2006.03.05 13:32:11 | 000,000,015 | ---- | C] () -- C:\WINDOWS\WDZ3.ini [2005.12.10 03:06:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2005.12.10 03:06:00 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2005.10.31 21:12:34 | 000,036,352 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2005.07.24 20:41:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\distlib.ini [2005.04.12 13:18:02 | 000,002,704 | ---- | C] () -- C:\WINDOWS\DevMgr.ini [2005.04.12 08:23:12 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\sversion.ini [2005.04.11 14:15:52 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2005.04.11 14:15:52 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2005.04.11 14:15:52 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2005.04.11 14:15:52 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2005.04.11 14:15:52 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2005.04.11 14:15:52 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2005.04.11 09:01:25 | 000,000,055 | ---- | C] () -- C:\WINDOWS\TC.INI [2005.04.10 13:12:00 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll [2005.04.10 13:12:00 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll [2005.04.10 13:12:00 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll [2005.04.10 13:01:11 | 000,000,020 | ---- | C] () -- C:\WINDOWS\Hposcv07.INI [2005.04.10 10:44:02 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll [2005.04.10 10:44:02 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll [2005.04.09 20:55:16 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2005.04.09 20:28:52 | 000,047,226 | ---- | C] () -- C:\WINDOWS\System32\interceptor.sys [2005.03.02 14:30:07 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2005.03.02 14:24:21 | 000,000,258 | ---- | C] () -- C:\WINDOWS\System32\raidmgmt.ini [2005.03.02 13:39:10 | 000,004,325 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2004.09.30 06:35:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2004.09.30 06:35:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2004.09.30 06:35:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2004.09.30 06:35:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2004.09.30 06:35:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2003.02.12 19:21:20 | 000,007,698 | ---- | C] () -- C:\WINDOWS\cadx2.ini [2002.11.20 17:51:34 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\win2000.dll [2002.03.20 20:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys [2002.03.20 20:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll [2002.03.20 20:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll [2002.03.20 20:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll [2002.03.20 20:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll [1997.06.14 12:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll ========== LOP Check ========== [2006.06.04 20:09:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2006.07.28 20:53:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ArchDesigner [2008.07.26 19:58:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software [2009.10.10 12:10:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HBZ [2010.07.02 21:01:36 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate [2008.04.04 16:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft [2007.07.17 21:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tanagra [2006.03.05 13:17:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Terzio [2010.02.14 19:15:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TextBridge [2006.06.04 20:13:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\ACD Systems [2005.04.10 10:01:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\AdsCleaner [2010.10.28 21:26:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Canon [2005.04.09 19:57:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\CDZilla [2009.04.24 22:11:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\DataCast [2010.11.08 21:52:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\gtk-2.0 [2005.04.11 14:18:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\InterVideo [2008.05.25 00:06:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\map&guide [2009.03.23 21:04:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\OpenOffice.org [2010.08.23 19:24:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\PTV AG [2010.01.17 13:20:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\M\Anwendungsdaten\Thunderbird ========== Purity Check ========== < End of report > [/code] OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 25.12.2010 19:11:11 - Run 4
OTL by OldTimer - Version 3.2.18.0 Folder = C:\Dokumente und Einstellungen\Matthias\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.023,00 Mb Total Physical Memory | 601,00 Mb Available Physical Memory | 59,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2048 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 79,02 Gb Free Space | 53,02% Space Free | Partition Type: NTFS
Drive U: | 465,76 Gb Total Space | 25,98 Gb Free Space | 5,58% Space Free | Partition Type: NTFS
Computer Name: NUMMER1 | User Name: Matthias | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe" "%1" (ACD Systems Ltd.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Ubisoft\DIE SIEDLER - Aufstieg eines Königreichs\base\bin\Settlers6.exe" = C:\Programme\Ubisoft\DIE SIEDLER - Aufstieg eines Königreichs\base\bin\Settlers6.exe:*:Enabled:DIE SIEDLER - Aufstieg eines Königreichs -- (Blue Byte GmbH)
"C:\Programme\Ubisoft\DIE SIEDLER - Aufstieg eines Königreichs\extra1\bin\Settlers6.exe" = C:\Programme\Ubisoft\DIE SIEDLER - Aufstieg eines Königreichs\extra1\bin\Settlers6.exe:*:Enabled:DIE SIEDLER - Aufstieg eines Königreichs - Reich des Ostens -- (Blue Byte GmbH)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{02C47AB7-0EFA-4804-BCFC-63DD27698B89}" = Stunt GP Demo
"{089B1349-BA53-43B1-A2C9-DBF9A7F8FD30}" = MOTORRAD Tourenplaner 2008/2009
"{1D2D4B49-1822-47DA-8D52-F144661FB650}" = ServicePack 2 MOTORRAD Tourenplaner 2008/2009
"{262DA23B-4BAB-463F-B1DC-9B5287CAB5CA}_is1" = Deinstallation der Arcor Online Software
"{262DA23B-4BAB-463F-B1DC-9B5287CAB5CA}}_is1" = Deinstallation der Arcor Online Software
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{3248F0A8-6813-11D6-A77B-00B0D0150010}" = J2SE Runtime Environment 5.0 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43ABB87C-618B-4DC2-B44A-903365EF5DD0}" = Race Driver
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{45E7C481-3EF4-4FCB-AF0B-19F70D618F0C}" = Worms 4 Mayhem
"{4EB03485-2894-4640-A0F1-A100256859B8}" = Green Line NEW E2 Band 1 Sprachtrainer Kommunikation
"{544FB392-069D-4BA5-9DC7-FFD47230AEE5}" = Photohands 1.0G
"{5AB1BFD2-819E-11D3-80D9-00C04F559BE6}" = TextBridge Pro Millennium
"{5B23E5AD-23E2-45C8-A24C-97D3A23FB6EE}" = Carcassonne
"{626B7EA2-B7C2-4277-AE30-A8B452A92B6C}" = Phonetik
"{70B45586-B51E-4947-A258-A895596C5CED}" = Photo Loader 2.3G
"{7148F0A8-6813-11D6-A77B-00B0D0142040}" = Java 2 Runtime Environment, SE v1.4.2_04
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = LiveUpdate BVRP Software
"{7CFC17CE-0A66-46B0-BA57-BF8AB674BF5C}" = Loewenzahn 6
"{8920EF0D-633E-46D1-9561-90E713E3145A}" = AutoBackup
"{89E7A6D8-2AC6-4C22-951E-9C7B31900A52}" = Architektur Designer 2003
"{8E4CF4E6-062E-11D8-BCF1-005004748D87}" = 3114 SATARAID5
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A460B835-CF65-4753-A506-227A6E12C0E3}" = ACDSee 6.0 Standard
"{A8808DE0-7441-4873-8711-A7E65DBD693C}" = Tux Racer Demo
"{A9CCF5C3-4E30-42E6-992F-3D257B01E292}" = Loewenzahn 3
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{AE9E39ED-A41A-40D4-B4CD-858A6E41D881}" = Loewenzahn 4
"{B2548EBD-F025-4B49-BBCF-DCA862F94500}" = Brother HL-2150N
"{BB394D95-C049-4EA4-00B3-F866A3357CCD}" = F1 2002 WORK IN PROGRESS DEMO
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C19BE821-89B1-4A96-AC7C-873810C0CB5F}" = ContentSAFER for Wizmax
"{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = EmoDio
"{C2FE0127-0F86-43C7-824E-AA78E6B5F4F3}" = Total Immersion Racing
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}" = DIE SIEDLER - Aufstieg eines Königreichs (Alle Produkte)
"{D581AD66-BF22-45AF-B7A4-4FE7E85B18CB}" = MOTORRAD Tourenplaner 2007/2008
"{DB75941E-30C4-4D97-B000-D17C764B998C}" = Brother BRAdmin Light 1.11
"{DE470016-1C64-11D5-982A-0050DA602C65}" = Löwenzahn 5
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F18E8A0F-BE99-4305-96A5-6C0FD9D7D999}" = mobile PhoneTools
"{F396B654-D467-41A2-B154-D2146ADA85E7}" = logo! TV-Maker
"{F5A83924-6A0A-40A2-9A9C-00D876B62E7F}" = FreeAgent Pro Tools
"{F68A7F48-9F26-4FB1-A7C2-DF3C0F2D849C}" = Crazy Taxi
"{FACE9D51-E374-4DDB-857C-816FCB1D6B40}" = Eumex 800 V1.30
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"3Dfx InteractiveDeinstKey" = 3Dfx Interactive
"7-Zip" = 7-Zip 3.13
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Age of Empires" = Microsoft Age of Empires
"Age of Empires 2.0" = Microsoft Age of Empires II
"Age of Empires Expansion 1.0" = Microsoft Age of Empires Expansion
"Age of Empires II: The Conquerors Expansion 1.0" = Microsoft Age of Empires II: The Conquerors Expansion
"AnyDVD" = AnyDVD
"Arasan_is1" = Arasan 10.0
"Ashampoo UnInstaller Suite" = Ashampoo UnInstaller Suite
"CloneCD" = CloneCD
"CloneDVD2" = CloneDVD2
"Clonk Endeavour" = Clonk Endeavour 4.95.5
"Clonk Planet" = Clonk Planet
"Clonk Rage" = Clonk Rage
"Diercke Globus" = Diercke Globus
"Erde" = Erde
"F1 Pro DEMO" = F1 Pro DEMO
"Familien-Internet" = Familien-Internet
"Formel1Planer" = Formel1Planer
"Golden Wipf Edition 4" = Golden Wipf Edition 4 (remove only)
"Großer Reiseplaner" = Großer Reiseplaner
"HeliBob XL" = HeliBob XL
"Hot Wheels Gold" = Hot Wheels Gold
"hp officejet g series 1113308269" = hp officejet g series
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{43ABB87C-618B-4DC2-B44A-903365EF5DD0}" = Race Driver
"InstallShield_{A8808DE0-7441-4873-8711-A7E65DBD693C}" = Tux Racer Demo
"InstallShield_{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = EmoDio
"InstallShield_{F5A83924-6A0A-40A2-9A9C-00D876B62E7F}" = FreeAgent Pro Tools
"InstallShield_{FACE9D51-E374-4DDB-857C-816FCB1D6B40}" = Eumex 800 V1.30
"Kosmos" = Kosmos
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mensch" = Mensch
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.0.3)" = Mozilla Thunderbird (3.0.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroMultiInstaller!UninstallKey" = Nero Suite
"New LEGO Digital Designer" = LEGO Digital Designer
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"phase5" = phase5
"QuickTime" = QuickTime
"ROBOProFischertechnik" = ROBOPro (fischertechnik) Programm
"S4Uninst" = Die Siedler IV
"Ski-Doo X-Team Racing NUTELLA" = Ski-Doo X-Team Racing NUTELLA
"Technik" = Technik
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.8
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"ZoneAlarm Anti-virus" = ZoneAlarm Anti-virus
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"InstallShield_{8920EF0D-633E-46D1-9561-90E713E3145A}" = AutoBackup
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 18.07.2008 08:30:43 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung racingnutella.exe, Version 1.0.0.1, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.2180, Fehleradresse 0x00001010.
Error - 16.08.2008 14:03:05 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung devdetect.exe, Version 2.0.1.6, fehlgeschlagenes
Modul mfc70.dll, Version 7.0.9466.0, Fehleradresse 0x0000f442.
Error - 21.08.2008 15:31:12 | Computer Name = EC7E0840EDD6437 | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp2\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2008 10:29:59 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung f1_2002_demo.exe, Version 0.5.1.8, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x0000100b.
Error - 06.10.2008 04:37:19 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung f1_2002_demo.exe, Version 0.5.1.8, fehlgeschlagenes
Modul f1_2002_demo.exe, Version 0.5.1.8, Fehleradresse 0x00118175.
Error - 29.03.2009 09:16:38 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung age2_x1.exe, Version 0.7.26.809, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.
Error - 29.03.2009 10:05:10 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung age2_x1.exe, Version 0.7.26.809, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x7a74616c.
Error - 16.04.2009 04:48:04 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung age2_x1.exe, Version 0.7.26.809, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x73696542.
Error - 21.04.2009 12:16:11 | Computer Name = EC7E0840EDD6437 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung empiresx.exe, Version 0.1.6.1115, fehlgeschlagenes
Modul empiresx.exe, Version 0.1.6.1115, Fehleradresse 0x00120c7d.
Error - 15.11.2009 11:57:07 | Computer Name = NUMMER1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung freeagent.exe, Version 1.0.1.14, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x01590480.
[ System Events ]
Error - 24.12.2010 06:39:18 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:18 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:18 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:18 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:19 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:19 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:19 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:19 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:19 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 24.12.2010 06:39:19 | Computer Name = NUMMER1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
< End of report >
[/code] Bin gespannt, ob Du noch etwas findest, daß nicht auf meinem PC seinsollte. Die Familien-Internet-Anwendung werde ich wahrscheinlich deinstallieren. Bei ein paar anderen Sachen bin ich auch am überlegen, ob ich sie runterschmeise, ich frage mich immer nur ob das dann auch immer vollständig gelingt. Ich habe hier den neuesten Kasperski liegen, kann ich den zusätzlich zu Zonelabs-Antivirus installieren und nutzen? Bis bald Matthias Geändert von michhatserw (25.12.2010 um 20:08 Uhr) Grund: Frage vergessen |
|
25.12.2010, 21:31
| #19 | ||
| /// Helfer-Team | "spyware protection", malacuxatx.exe und a0104769.exe Hast du den Flash Disinfector auch auf deinem Laufwerk U:\ angewandt? 1.) Fixen mit OTL
2.) Malwarebytes Antimalware Scanne erneut mit dem Programm. Bringe es vorweg über den Reiter "Aktualisierung" auf den neuesten Stand. Wähle dann den "Vollständigen Suchlauf". Lasse die Funde löschen, es sei denn es werden noch welche im Ordner "System Volume Information" gemacht, die nicht löschen. Poste mir das Log hierher. 3.) ESET Online Scan Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit dem ESET Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
Zitat:
Anleitung Zitat:
__________________ mfg, rea *Auch du brauchst Hilfe bei einem Malwareproblem?* *TB-Spendenkonto* Hier könnte ein schlauer Spruch stehen. Naja .... könnte!  |
|
25.12.2010, 22:05
| #20 |
| | "spyware protection", malacuxatx.exe und a0104769.exe Hallo rea, die Platte U:\ sollte eingeschaltet gewesen sein. Ich hatte auch alle meine USB-Sticks eingesteckt. Die von meinem Sohn sind noch nicht geprüft. Wann und wie kann ich diese prüfen? Nur beim OTL-Fix fehlte das laufwerk U:\. Für den ESET-Scan auch die USB-Sticks anschliesen? Ich werde jetzt mit dem neuen OTL-FIX anfangen und dann morgen mit Malwarebytes weitermachen. Kann ich ESET-Scan vorab downloaden? Wann/woher wird das Firefox-Addon runtergeladen, geschieht dass während des ESET-Scans? Danke und Grüße Matthias |
|
26.12.2010, 11:49
| #21 | |||||
| /// Helfer-Team | "spyware protection", malacuxatx.exe und a0104769.exeZitat:
Zitat:
Zitat:
Zitat:
Zitat:
__________________ --> "spyware protection", malacuxatx.exe und a0104769.exe |
|
26.12.2010, 19:50
| #22 |
| | "spyware protection", malacuxatx.exe und a0104769.exe Hallo rea, U:\ ist eine externe USB-Festplatte auf der auch meine automatische Dateisicherung liegt. Meistens ist die Platte ausgeschaltet, wenn ich am Rechner sitze, deswegen vergesse ich auch manchmal sie einzuschalten, wenn sie gebraucht wird, das muss ich dann nachholen. Mein Sohn benutzt ständig meinen PC daher sind die USB-Sticks auch öfter an diesem Rechner, das heißt auch diese sind zu scannen, oder? Ich schaue, ob ich alle USB-Sticks auf einmal anschliesen kann. Kann ich den Scan mit Flash-Desinfector auch mehrfach machen und jedesmal andere Sticks anschliesen? Hier sind die Ergebnisse des neuen OTL-Scans und des Malwarebytes-Scans und von ESET. 1. OTL Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{75CD0BC5-E317-449C-9FF6-4986B3D48F64} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{75CD0BC5-E317-449C-9FF6-4986B3D48F64}\ not found.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Antivirus-Profi-Paket.lnk moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: andrea
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: bibi
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: marco
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Matthias
->Temp folder emptied: 62 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 45985282 bytes
->Flash cache emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: spieler
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: subchief
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
User: surfer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17304 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 44,00 mb
Restore point Set: OTL Restore Point (0)
OTL by OldTimer - Version 3.2.18.0 log created on 12252010_221433
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5394
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26.12.2010 00:38:25
mbam-log-2010-12-26 (00-38-25).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|N:\|O:\|P:\|Q:\|U:\|)
Durchsuchte Objekte: 372292
Laufzeit: 2 Stunde(n), 13 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
3. ESET-Scan Code:
ATTFilter C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\dvd etc\CloneCD 5.3.1.3\Registration Tool.exe probably a variant of Win32/TrojanDownloader.Banload.DXZMGUG trojan cleaned by deleting - quarantined
U:\Memeo\Matthias Backup\C_\Dokumente und Einstellungen\Matthias\Eigene Dateien\dvd etc\CloneCD 5.3.1.3\Registration Tool.exe probably a variant of Win32/TrojanDownloader.Banload.DXZMGUG trojan cleaned by deleting - quarantined
Ich werde jetzt ESET deinstallieren und dann noch einmal den Flash-Desinfector bemühen. Erst einmal nur mit den schon einmal benutzten Sticks. Ich habe jetzt den Flash-Desinfector über alle Sticks (auch die von Sohnemann) laufen lassen, ich hoffe das war kein großer Fehler. VG Matthias Geändert von michhatserw (26.12.2010 um 20:32 Uhr) Grund: Ergänzug zu U:\ flash-desinfrector über alle sticks |
|
26.12.2010, 20:30
| #23 |
| /// Helfer-Team | "spyware protection", malacuxatx.exe und a0104769.exe Okay, gibts noch Probleme mit dem PC?
__________________ mfg, rea *Auch du brauchst Hilfe bei einem Malwareproblem?* *TB-Spendenkonto* Hier könnte ein schlauer Spruch stehen. Naja .... könnte! |
|
26.12.2010, 21:07
| #24 |
| | "spyware protection", malacuxatx.exe und a0104769.exe Hallo rea, mir sind im Moment keine bekannt. Schliese ich richtig aus deiner Aussage, dass Du den Rechner jetzt wieder für clean ansiehst. Auf jeden Fall vielen Dank für die Zeit und Arbeit die Du in meinen Rechner investiert hast, kannst Du mir sagen wieviel Zeit Du investiert hast, ich habe kein Gefühl dafür, wie aufwendig das für dich ist/ war. Noch einmal zu Deinem Tipp mit Avira: Ist der deutlich besser/aktueller als mein Zonelabs-Antivirus oder der Kasperski. Danke und liebe Grüße Matthias |
|
26.12.2010, 21:50
| #25 | ||
| /// Helfer-Team | "spyware protection", malacuxatx.exe und a0104769.exe 1.) Java aktualisieren Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java Version 6 Update 23 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. 2.) Windowsupdates Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter. Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View. 3.) Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell. 4.) Systemwiederherstellung leeren
Wenn das erledigt ist, sind wir fertig Zitat:
 .Zitat:
Es gibt tägliche Updates, es ist für Heimanwender kostenlos, die Konfiguration ist nicht zu kompliziert und in Tests schneidet es auch gut ab. Aber wenn du mit Kaspersky gut zurecht kommst, dann nutz es  Denn das ist eigentlich das wichtigste, dass man damit zurecht kommt. Was den direkten Vergleich zu Avira angeht, würd ich dir einfach mal nahelegen dir ein paar Testberichte im Internet anzusehen oder Vergleiche zwischen den einzelnen Programmen und das für dich selbst zu entscheiden.
__________________ mfg, rea *Auch du brauchst Hilfe bei einem Malwareproblem?* *TB-Spendenkonto* Hier könnte ein schlauer Spruch stehen. Naja .... könnte! |
|
28.12.2010, 20:14
| #26 |
| | "spyware protection", malacuxatx.exe und a0104769.exe Hallo rea, Die letzten Aktionen sind wie beschrieben durchgeführt. Malwarebytes werde ich auf dem Rechner lassen und immer wieder einmal damit scannen. Da er nicht ständig aktiv ist, sollte er sich nicht mit einem anderen Virenscanner beharken. Ich wollte mich noch einmal bei Dir bedanken, daß Du die Geduld und Zeit aufgebracht hast mir zu helfen. Der PC scheint wieder OK zu sein, ich werde mich jetzt umschauen, was ich, außer aufpassen, noch tun kann, damit ich nicht so schnell wieder hier aufschlage. Von mir aus kannst Du den Thread schließen. Oder hast Du noch Verhaltensregeln, die du mir mitgeben willst? Danke und Grüße Matthias |
|
28.12.2010, 20:36
| #27 |
| /// Helfer-Team | "spyware protection", malacuxatx.exe und a0104769.exe Gern geschehen Schau doch mal in den folgenden Thread, dort werden viele Tipps gegeben damit man nicht so schnell wieder Opfer von Malware wird: Sicherheit im Internet An diesem Board werden fertige Threads nicht geschlossen. Solltest du in einiger Zeit wieder Probleme durch Malware haben, erstell dann aber bitte ein neues Thema.
__________________ mfg, rea *Auch du brauchst Hilfe bei einem Malwareproblem?* *TB-Spendenkonto* Hier könnte ein schlauer Spruch stehen. Naja .... könnte! |
|
| Themen zu "spyware protection", malacuxatx.exe und a0104769.exe |
| a0104769.exe, abgesicherten, anti-malware, antivir, bildschirm, c:\windows, defender, download, einstellungen, entfernen, gen, information, link, malcuxatx.exe, malwarebytes, meldung, nichts, rechner, schädlinge, spyware, spyware protection, suche, system, system volume information, tipps, trojan.agent, trojaner, windows |
Linear-Darstellung
