|
Log-Analyse und Auswertung: TROJAN DNS - Anleitung durchgeführt -> GMER-AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2011, 17:06 | #1 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Hallo zusammen, erstmal vielen herzlichen Dank für Eure tolle Arbeit. Habe euer Forum erst vor ein paar Tagen entdeckt und es hat mir bis jetzt unglaublich geholfen. AUSGANGSSITUATION ---------------------- Mein Rechner hatte das Problem, dass er über Google ständig andere Seiten anlief, als gewünscht. Durch die Suche im Forum, fand ich auch die Lösung für mein Problem. Mein System war vom "Trojan.DNSChanger" befallen. BISHERIGES VORGEHEN ---------------------- Leider hatte ich die Anleitung von AdminBot (13.08.2009) erst am Ende gefunden. Daher war mein Vorgehen wie folgt: (1) Alle AV-Programme aktualisiert, dann vom Netz getrennt. (2) Hijack Auswertung -> zwei Einträge waren gefährdet (DNS auf falsche Adresse) diese hab ich gelöscht (3) Neustart in abgesicherter Modus (4) Malware -> fand Trojan.DNSChanger und zwei Rootkit-Einträge: diese wurden behoben (5) escan -> fand einen "WORM" (6) Neustart im normalen Modus (7) Systemwiederherstellung deaktiviert, Cache gelöscht, Temp gelöscht (9) Internet wieder mit WinsockFix repariert (10) Hijack Auswertung -> keine Fehler gefunden (11) vom Netz getrennt, Virenscanner (Norten beendet, Hintergrund) (12) escan -> nix gefunden (13) Malware -> nix gefunden (14) HostsXpert durchgeführt (15) GMER-durchgeführt (16) Neustart normaler Modus (17) Malware -> nix gefunden (18) GMER-durchgeführt Am Ende wurde geschrieben, dass man unbedingt das GMER-LOG posten soll. Hier ist es ... GMER-LOG ---------------------- GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2011-01-07 16:57:27 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-2 Intel___ rev.1.0. Running: mrqgecg7.exe; Driver: C:\DOKUME~1\Joke\LOKALE~1\Temp\kwrdypow.sys ---- System - GMER 1.0.15 ---- SSDT 88F38050 ZwAlertResumeThread SSDT 88F3A050 ZwAlertThread SSDT 88E12C88 ZwAllocateVirtualMemory SSDT 88F26050 ZwAssignProcessToJobObject SSDT 89654FB0 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA957A210] SSDT 88E123A0 ZwCreateMutant SSDT 88E11E68 ZwCreateSymbolicLinkObject SSDT 88E13288 ZwCreateThread SSDT 88F28050 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA957A490] SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA957A9F0] SSDT 88E12DE0 ZwDuplicateObject SSDT 88E12AE8 ZwFreeVirtualMemory SSDT 88F34050 ZwImpersonateAnonymousToken SSDT 88F36050 ZwImpersonateThread SSDT 89730488 ZwLoadDriver SSDT 88E12A08 ZwMapViewOfSection SSDT 88F31050 ZwOpenEvent SSDT 88E12F80 ZwOpenProcess SSDT 88F4B050 ZwOpenProcessToken SSDT 88F2D050 ZwOpenSection SSDT 88E12EB0 ZwOpenThread SSDT 88E11F38 ZwProtectVirtualMemory SSDT 88F3C050 ZwResumeThread SSDT 88F42050 ZwSetContextThread SSDT 88E128B0 ZwSetInformationProcess SSDT 88F2A050 ZwSetSystemInformation SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA957AC40] SSDT 88F2F050 ZwSuspendProcess SSDT 88F3E050 ZwSuspendThread SSDT 89633C18 ZwTerminateProcess SSDT 88F40050 ZwTerminateThread SSDT 88F45050 ZwUnmapViewOfSection SSDT 88E12BB8 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2D30 805045CC 4 Bytes CALL FED926FB ? SYMDS.SYS Das System kann die angegebene Datei nicht finden. ! ? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \FileSystem\Fastfat \Fat A5B2ED20 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions) ---- EOF - GMER 1.0.15 ---- AKTUELLE SITUATION ---------------------- Ich hoffe damit ist das Thema ausgestanden *daumendrück* ... fürchte aber, ich werde an einem Neuaufsetzten (zur Sicherheit) nicht vorbeikommen, oder? Wäre kein Problem, habe heute bereits einen neuen Rechner gekauft, es wäre mir aber wichtig, dass der alte Rechner sauber ist, bevor ich meine privaten Fotos und Grafikdateien (PSD, INDD) auf den neuen überspiele. Droht bei solchen Dateien Gefahr? Würde sie entweder per USB-Stick oder DVD übertragen. Neuer Rechner würde ich nicht mit dem neuen verbinden. Habe auch gelesen, dass ich nun alle meine Passwörter ändern muss. Würde das über den neuen Rechner machen. VIELEN DANK ---------------------- Schon mal vielen Dank für Eure Hilfe :-) ... ohne dieses Forum wäre ich aufgeschmissen gewesen. Dürft Ihr auch Spenden annehmen? Möchte Euren Einsatz gerne unterstützen! |
07.01.2011, 21:06 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Hallo und
__________________Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
07.01.2011, 23:03 | #3 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Hier schon mal der Malwarebytes-Bericht.
__________________das hier ist der aktuelle:
Dieser hier war der erste (vor der Reinigungsaktion):
|
07.01.2011, 23:38 | #4 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung OTL Teil 1 OTL Logfile: Code:
ATTFilter OTL logfile created on: 07.01.2011 23:28:42 - Run 1 OTL by OldTimer - Version 3.2.20.1 Folder = C:\Dokumente und Einstellungen\*****\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 73,00% Memory free 9,00 Gb Paging File | 8,00 Gb Available in Paging File | 93,00% Paging File free Paging file location(s): C:\pagefile.sys 6000 8000 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 294,94 Gb Total Space | 101,79 Gb Free Space | 34,51% Space Free | Partition Type: NTFS Computer Name: ***** | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe (Adobe Systems Inc.) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe (Symantec Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.) PRC - C:\WINDOWS\stsystra.exe (SigmaTel, Inc.) PRC - C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation) PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.) PRC - C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) PRC - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) PRC - C:\Programme\Extensis\Suitcase 9.2\Suitcase.exe (Extensis Products Group) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Programme\Norton Internet Security\Engine\17.8.0.5\asoehook.dll (Symantec Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) MOD - C:\Programme\Norton Internet Security\Engine\17.8.0.5\microsoft.vc90.crt\msvcr90.dll (Microsoft Corporation) MOD - C:\Programme\Norton Internet Security\Engine\17.8.0.5\microsoft.vc90.crt\msvcp90.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.) SRV - (NIS) -- C:\Programme\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe (Symantec Corporation) SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.) SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) SRV - (IAANTMON) Intel(R) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (NAVEX15) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20110107.003\NAVEX15.SYS (Symantec Corporation) DRV - (NAVENG) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20110107.003\NAVENG.SYS (Symantec Corporation) DRV - (BHDrvx86) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101123.003\BHDrvx86.sys (Symantec Corporation) DRV - (IDSxpx86) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20110106.003\IDSXpx86.sys (Symantec Corporation) DRV - (EraserUtilRebootDrv) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation) DRV - (eeCtrl) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation) DRV - (SYMTDI) -- C:\WINDOWS\System32\Drivers\NIS\1108000.005\SYMTDI.SYS (Symantec Corporation) DRV - (SymIMMP) -- C:\WINDOWS\system32\drivers\SymIM.sys (Symantec Corporation) DRV - (SymIM) -- C:\WINDOWS\system32\drivers\SymIM.sys (Symantec Corporation) DRV - (SymIRON) -- C:\WINDOWS\system32\drivers\NIS\1108000.005\Ironx86.SYS (Symantec Corporation) DRV - (SymEFA) -- C:\WINDOWS\system32\drivers\NIS\1108000.005\SYMEFA.SYS (Symantec Corporation) DRV - (SRTSP) -- C:\WINDOWS\System32\Drivers\NIS\1108000.005\SRTSP.SYS (Symantec Corporation) DRV - (SRTSPX) Symantec Real Time Storage Protection (PEL) -- C:\WINDOWS\system32\drivers\NIS\1108000.005\SRTSPX.SYS (Symantec Corporation) DRV - (SymEvent) -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS (Symantec Corporation) DRV - (ccHP) -- C:\WINDOWS\system32\drivers\NIS\1108000.005\ccHPx86.sys (Symantec Corporation) DRV - (SymDS) -- C:\WINDOWS\system32\drivers\NIS\1108000.005\SYMDS.SYS (Symantec Corporation) DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.) DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (uigxrdr) -- C:\WINDOWS\system32\drivers\uigxrdr.SYS (GMX GmbH) DRV - (X-Rite) -- C:\WINDOWS\system32\drivers\XrUsb.sys (X-Rite, Inc.) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin) DRV - (TF0801) -- C:\WINDOWS\system32\drivers\TF0801.sys () DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.) DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation) DRV - (iastor) -- C:\WINDOWS\system32\drivers\iastor.sys (Intel Corporation) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (NAL) -- C:\WINDOWS\system32\drivers\iqvw32.sys (Intel Corporation ) DRV - (sfvfs02) StarForce Protection VFS Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfvfs02.sys (Protection Technology) DRV - (DRVMCDB) -- C:\WINDOWS\System32\Drivers\DRVMCDB.SYS (Sonic Solutions) DRV - (DLAUDFAM) -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS (Sonic Solutions) DRV - (DLAUDF_M) -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS (Sonic Solutions) DRV - (DLAIFS_M) -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS (Sonic Solutions) DRV - (DLABOIOM) -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS (Sonic Solutions) DRV - (DLAOPIOM) -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS (Sonic Solutions) DRV - (DLAPoolM) -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS (Sonic Solutions) DRV - (DLADResN) -- C:\WINDOWS\system32\DLA\DLADResN.SYS (Sonic Solutions) DRV - (DLACDBHM) -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS (Sonic Solutions) DRV - (DLARTL_N) -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS (Sonic Solutions) DRV - (DRVNDDM) -- C:\WINDOWS\system32\drivers\DRVNDDM.SYS (Sonic Solutions) DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.) DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.) DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic) DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic) DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic) DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.) DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.) DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation) DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation) DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation) DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation) DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.) DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.) DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.) DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5061220 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5061220 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Search" FF - prefs.js..browser.search.defaulturl: "hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: linkalert.conlan@addons.mozilla.com:1.0.1 FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004 FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0 FF - prefs.js..extensions.enabledItems: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}:4.6 FF - prefs.js..extensions.enabledItems: {dd3d7613-0246-469d-bc65-2a3cc1668adc}:0.7.1.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..keyword.URL: "hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=" FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\ [2010.05.27 20:36:31 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\ [2010.03.29 18:34:28 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.23 23:14:01 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.25 12:38:05 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.12.22 19:46:55 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.12.25 12:38:05 | 000,000,000 | ---D | M] [2010.11.01 12:40:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions [2010.11.01 12:40:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2011.01.06 10:58:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\extensions [2010.11.01 12:40:56 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.10.21 18:32:59 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.11.08 20:35:29 | 000,000,000 | ---D | M] (BlockSite) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\extensions\{dd3d7613-0246-469d-bc65-2a3cc1668adc} [2010.10.21 18:32:59 | 000,000,000 | ---D | M] ("Link Alert") -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\extensions\linkalert.conlan@addons.mozilla.com [2009.10.26 21:04:46 | 000,000,000 | ---D | M] (Move Media Player) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\extensions\moveplayer@movenetworks.com [2010.05.05 16:15:36 | 000,000,266 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\searchplugins\Search.xml [2007.04.17 18:32:44 | 000,002,386 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\h24l38w9.default\searchplugins\siteadvisor.xml [2011.01.06 10:58:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.05.14 16:24:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.12.25 12:34:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} [2010.03.29 18:34:28 | 000,000,000 | ---D | M] (Norton Toolbar) -- C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\COFFPLGN [2010.05.27 20:36:31 | 000,000,000 | ---D | M] (Norton IPS) -- C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPLGN [2009.04.04 17:35:52 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2010.11.12 18:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.20 16:21:40 | 000,106,192 | ---- | M] ( ) -- C:\Programme\Mozilla Firefox\plugins\npstrlnk.dll [2010.12.23 23:13:55 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.12.23 23:13:55 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.12.23 23:13:55 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.12.23 23:13:55 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.12.23 23:13:55 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.01.07 00:00:36 | 000,000,698 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions) O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation) O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.8.0.5\ipsbho.dll (Symantec Corporation) O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll (Dell Inc.) O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation) O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\ShellBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.) O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\WINDOWS\stsystra.exe (SigmaTel, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [Spyware Doctor] C:\Dokumente und Einstellungen\*****\Desktop\sdsetup.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase Startup.lnk = C:\Programme\Extensis\Suitcase 9.2\Suitcase.exe (Extensis Products Group) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O15 - HKCU\..Trusted Domains: facebook.com ([www] http in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: microsoft.com ([update] http in Vertrauenswürdige Sites) O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} https://support.microsoft.com/OAS/ActiveX/MSDcode.cab (Microsoft Data Collection Control) O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} hxxp://www.bilderservice.de/direkt/static/download/iedropupload.cab (PIXACO upload plugin) O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} hxxp://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab (Reg Error: Key error.) O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} hxxp://www.kodakgallery.de/downloads/BUM/BUM_WIN_IE_2/axofupld.cab (Kodak Gallery Easy Upload Manager Class) O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab (Battlefield Heroes Updater) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {BA83FD38-CE14-4DA3-BEF5-96050D55F78A} hxxp://www.flipviewer.com/exe/fv410dep.cab (Reg Error: Key error.) O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab (IPSUploader4 Control) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} hxxp://www.lokalisten.de/iup/ImageUploader4.cab (Image Uploader Control) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 () - hxxp://images.psxextreme.com/wallpapers/ps3/megan_fox_01.jpg O24 - Desktop Components:1 () - C:\Eigene Dateien\Projekte & Kunden\Desktop\web-content\index.html O24 - Desktop Components:2 (Die derzeitige Homepage) - About:Home O24 - Desktop Components:3 () - file:///C:/Eigene Dateien/Projekte & Kunden/******/Daten-HP/web-content/*****/Spielplan.zip Spielplan.zip O24 - Desktop WallPaper: C:\WINDOWS\Dell.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Dell.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.08.13 13:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\Shell - "" = AutoRun O33 - MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\Shell\AutoRun\command - "" = G:\pushinst.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.01.07 23:06:46 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe [2011.01.07 17:51:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools [2011.01.07 17:03:12 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys [2011.01.07 17:02:14 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe [2011.01.07 13:01:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe [2011.01.07 13:01:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe [2011.01.07 10:05:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*****\Recent [2011.01.07 00:00:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\HostsXpert [2011.01.06 23:43:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\WinsockFix [2011.01.06 21:41:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC [2011.01.06 17:49:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes [2011.01.06 17:40:19 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.01.06 17:40:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.01.06 17:40:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.01.06 17:40:16 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.01.06 17:40:16 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.01.06 17:08:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\backups [2011.01.06 17:01:31 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis204.exe [2011.01.06 13:36:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Color [2011.01.06 12:14:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\BRENNEN [2011.01.06 11:43:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL [2011.01.06 11:43:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe [2011.01.06 11:43:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE [2011.01.06 11:43:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe [2011.01.06 11:35:31 | 000,632,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll [2011.01.06 11:35:30 | 000,554,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll [2011.01.06 11:35:29 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe [2011.01.06 11:35:25 | 000,153,600 | -H-- | C] (Microsoft Corporation) -- C:\WINDOWS\REGEDIT.COM [2011.01.06 11:35:25 | 000,153,600 | -H-- | C] (Microsoft Corporation) -- C:\WINDOWS\R.COM [2011.01.06 11:35:25 | 000,140,800 | -H-- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\TASKMGR.COM [2011.01.06 11:35:25 | 000,140,800 | -H-- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\T.COM [2011.01.06 11:35:23 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld [2011.01.06 11:33:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld [2011.01.06 11:22:47 | 000,000,000 | ---D | C] -- C:\!KillBox [2011.01.05 18:40:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Flyer ApresSki 2011 [2011.01.03 20:47:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\NEUE REFERENZEN [2010.12.30 11:27:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\2010-12-24 Weihnachten [2010.12.27 23:17:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\The Creative Assembly [2010.12.27 20:02:26 | 004,379,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_40.dll [2010.12.27 20:02:26 | 002,036,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_40.dll [2010.12.27 20:02:26 | 000,452,440 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_40.dll [2010.12.27 20:02:25 | 000,514,384 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_3.dll [2010.12.27 20:02:25 | 000,235,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_3.dll [2010.12.27 20:02:25 | 000,070,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_2.dll [2010.12.27 20:02:25 | 000,023,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_5.dll [2010.12.27 20:02:24 | 003,851,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_39.dll [2010.12.27 20:02:24 | 001,493,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_39.dll [2010.12.27 20:02:24 | 000,509,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_2.dll [2010.12.27 20:02:24 | 000,507,400 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_1.dll [2010.12.27 20:02:24 | 000,467,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_39.dll [2010.12.27 20:02:24 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_2.dll [2010.12.27 20:02:24 | 000,068,616 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_1.dll [2010.12.27 20:02:24 | 000,065,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_0.dll [2010.12.27 20:02:23 | 003,850,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_38.dll [2010.12.27 20:02:23 | 001,491,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_38.dll [2010.12.27 20:02:23 | 000,467,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_38.dll [2010.12.27 20:02:23 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_1.dll [2010.12.27 20:02:23 | 000,025,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_4.dll [2010.12.27 20:02:22 | 003,786,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_37.dll [2010.12.27 20:02:22 | 001,420,824 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_37.dll [2010.12.27 20:02:22 | 000,479,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_0.dll [2010.12.27 20:02:22 | 000,462,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_37.dll [2010.12.27 20:02:22 | 000,267,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_10.dll [2010.12.27 20:02:22 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_0.dll [2010.12.27 20:02:22 | 000,025,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_3.dll [2010.12.27 20:02:21 | 003,734,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_36.dll [2010.12.27 20:02:21 | 001,374,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_36.dll [2010.12.27 20:02:21 | 001,358,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_35.dll [2010.12.27 20:02:21 | 000,444,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_36.dll [2010.12.27 20:02:21 | 000,444,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_35.dll [2010.12.27 20:02:21 | 000,267,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_9.dll [2010.12.27 20:02:20 | 003,727,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_35.dll [2010.12.27 20:02:20 | 003,497,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_34.dll [2010.12.27 20:02:20 | 001,124,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_34.dll [2010.12.27 20:02:20 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_34.dll [2010.12.27 20:02:20 | 000,266,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_8.dll [2010.12.27 20:02:20 | 000,017,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_2.dll [2010.12.27 20:02:19 | 000,261,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_7.dll [2010.12.27 20:02:18 | 001,123,696 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_33.dll [2010.12.27 20:02:18 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_33.dll [2010.12.27 20:02:16 | 003,495,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_33.dll [2010.12.27 20:02:16 | 000,255,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_6.dll [2010.12.27 20:01:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs [2010.12.25 12:52:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\2010-12-24 Garden Christbaum [2010.12.25 12:34:42 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.12.18 13:31:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Zirkus [6 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [254 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.01.07 23:06:46 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe [2011.01.07 20:39:22 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.01.07 20:39:13 | 002,251,120 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.01.07 20:38:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.01.07 20:38:06 | 3219,046,400 | -HS- | M] () -- C:\hiberfil.sys [2011.01.07 19:17:01 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011.01.07 18:54:47 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{6F7ED68C-DA1C-4AAC-82FE-B56772D5C1CB}.job [2011.01.07 13:46:02 | 035,636,144 | ---- | M] () -- C:\Eigene Dateien\pinfect.zip [2011.01.07 13:00:28 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx [2011.01.07 00:38:48 | 000,122,144 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Checkliste_privat.pdf [2011.01.07 00:00:36 | 000,000,698 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2011.01.06 23:59:40 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\mrqgecg7.exe [2011.01.06 17:40:19 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.01.06 17:01:32 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis204.exe [2011.01.06 12:51:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2011.01.06 11:35:30 | 000,632,064 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll [2011.01.06 11:35:29 | 000,554,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll [2011.01.06 11:35:28 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe [2011.01.06 11:27:00 | 099,334,664 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\mwav.exe [2011.01.05 21:23:11 | 000,228,864 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [254 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.01.07 19:06:49 | 000,001,355 | ---- | C] () -- C:\WINDOWS\imsins.BAK [2011.01.07 00:38:48 | 000,122,144 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Checkliste_privat.pdf [2011.01.06 23:59:39 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\mrqgecg7.exe [2011.01.06 21:51:43 | 3219,046,400 | -HS- | C] () -- C:\hiberfil.sys [2011.01.06 17:40:19 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.01.06 12:58:28 | 035,636,144 | ---- | C] () -- C:\Eigene Dateien\pinfect.zip [2011.01.06 11:35:46 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx [2011.01.06 11:26:56 | 099,334,664 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\mwav.exe [2010.04.06 22:28:26 | 000,000,576 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\afl.log [2009.11.04 21:58:32 | 000,139,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2009.11.04 21:58:32 | 000,138,056 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PnkBstrK.sys [2009.09.21 19:34:30 | 000,004,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\TF0801.sys [2009.05.02 00:10:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Maxi DSL.ini [2009.02.15 11:48:04 | 000,024,580 | ---- | C] () -- C:\WINDOWS\System32\wsfaxmon.dll [2009.02.15 11:47:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OAISetup.INI [2009.02.15 11:47:50 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WINPHONE.INI [2009.02.14 13:50:24 | 000,000,551 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AutoGK.ini [2009.02.14 13:24:39 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.01.25 22:10:48 | 000,179,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2009.01.09 00:01:22 | 000,629,760 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2008.10.24 20:34:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI [2008.02.10 22:01:41 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll [2008.02.10 22:01:41 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll [2008.02.10 22:01:41 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll [2008.02.10 22:01:41 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll [2008.02.10 22:01:41 | 000,000,073 | ---- | C] () -- C:\WINDOWS\System32\ssprs.dll [2008.01.02 23:21:50 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2007.08.11 18:28:14 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini [2007.08.11 18:28:13 | 000,088,064 | ---- | C] () -- C:\WINDOWS\System32\AudioExCtl.dll [2007.07.30 19:14:28 | 000,000,022 | ---- | C] () -- C:\WINDOWS\WET.INI [2007.06.30 06:48:48 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll [2007.04.27 08:43:58 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2007.01.02 15:04:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI [2007.01.02 02:03:49 | 000,000,366 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2007.01.02 01:30:30 | 000,228,864 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2006.12.28 13:30:11 | 000,000,017 | ---- | C] () -- C:\WINDOWS\man.ini [2006.12.28 13:29:33 | 000,008,704 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\dvd.bmk [2006.12.28 13:17:14 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2006.12.28 12:45:10 | 000,000,160 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\wklnhst.dat [2006.12.28 12:13:48 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS4q.DLL [2006.12.27 12:33:11 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.12.20 04:27:34 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2006.12.20 04:21:44 | 000,000,126 | ---- | C] () -- C:\WINDOWS\wininit.ini [2006.12.20 04:02:16 | 000,000,487 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2005.11.10 09:56:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini [2004.09.28 05:38:30 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\wmatimer.dll [2004.08.13 14:04:30 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2004.08.13 13:47:33 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [1998.03.22 12:50:02 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [1997.10.22 00:00:00 | 000,031,232 | ---- | C] () -- C:\WINDOWS\System32\XLREC.DLL [1997.10.22 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\RECNCL.DLL [1997.10.22 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL [1997.10.22 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL ========== LOP Check ========== [2008.10.24 20:30:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2009.05.29 17:10:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EIZO [2010.07.31 14:36:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2008.06.07 15:00:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX [2010.10.24 19:13:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2011.01.06 11:44:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MCA8A.tmp [2011.01.06 11:35:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld [2007.04.30 19:53:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster [2009.12.26 17:57:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\No23 Recorder [2007.12.11 22:49:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.07.19 20:26:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2009.12.09 19:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Blender Foundation [2011.01.04 20:51:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Canon [2008.10.25 10:39:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\CD-LabelPrint [2007.08.30 21:15:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\CDZilla [2007.06.28 22:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Command & Conquer 3 Tiberium Wars [2008.03.09 09:20:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DisplayTune [2008.02.16 07:59:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\EBookSys [2010.07.31 14:40:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\elsterformular [2007.06.16 18:32:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\fotobuch.de AG [2007.10.03 14:49:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Glory of the Roman Empire [2008.06.07 15:00:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GMX [2007.07.14 17:04:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\InterVideo [2007.01.02 15:38:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Leadertech [2010.08.23 20:50:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\MAGIX [2007.12.08 14:20:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\My Games [2010.03.14 23:05:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Nik Software [2007.03.03 23:19:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Opera [2006.12.28 12:45:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Template [2010.12.27 23:17:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\The Creative Assembly [2010.11.01 12:40:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Thunderbird [2010.11.11 19:19:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\XMedia Recode [2011.01.07 18:54:47 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{6F7ED68C-DA1C-4AAC-82FE-B56772D5C1CB}.job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81 @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:58CF2C8C < End of report > |
07.01.2011, 23:46 | #5 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung und die Extras :-) OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 07.01.2011 23:28:42 - Run 1 OTL by OldTimer - Version 3.2.20.1 Folder = C:\Dokumente und Einstellungen\*****\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 73,00% Memory free 9,00 Gb Paging File | 8,00 Gb Available in Paging File | 93,00% Paging File free Paging file location(s): C:\pagefile.sys 6000 8000 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 294,94 Gb Total Space | 101,79 Gb Free Space | 34,51% Space Free | Partition Type: NTFS Computer Name: *****SHD | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [CEWE FOTOSCHAU] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\CEWE FOTOSCHAU.exe" -d "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [SCHLECKER Foto Digital Service] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" () Directory [SCHLECKER Foto Digital Service.exe] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DisableNotifications" = 0 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4 "139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\Firefly Studios\Stronghold 2\Stronghold2.exe" = C:\Programme\Firefly Studios\Stronghold 2\Stronghold2.exe:*:Enabled:Stronghold 2 -- File not found "C:\Programme\Adobe\Adobe GoLive CS2\GoLive.exe" = C:\Programme\Adobe\Adobe GoLive CS2\GoLive.exe:*:Enabled:Adobe GoLive CS2 -- () "C:\Programme\SmartFTP\SmartFTP.exe" = C:\Programme\SmartFTP\SmartFTP.exe:*:Enabled:SmartFTP Client -- (SmartFTP GmbH) "C:\Programme\fotobuch.de AG\Designer\Designer.exe" = C:\Programme\fotobuch.de AG\Designer\Designer.exe:*:Designer.exe -- File not found "C:\Programme\Atari\Act of War - Direct Action\ActofWar.exe" = C:\Programme\Atari\Act of War - Direct Action\ActofWar.exe:*:Enabled:ActofWar -- File not found "C:\Programme\Atari\Act of War - Direct Action\fpupdate.exe" = C:\Programme\Atari\Act of War - Direct Action\fpupdate.exe:*:Enabled:fpupdate -- File not found "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ElectronicArts_Patcher_000.exe" = C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ElectronicArts_Patcher_000.exe:*:Enabled:ElectronicArts_Patcher_000 -- File not found "C:\Programme\gamigo\levelr\LevelR\LevelR.bin" = C:\Programme\gamigo\levelr\LevelR\LevelR.bin:*:Enabled:LEVEL-R -- (Invictus-Games Kft.) "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated) "C:\Programme\Blitz 1941\BlitzClient2.exe" = C:\Programme\Blitz 1941\BlitzClient2.exe:*:Enabled:Blitz 1941 -- File not found "C:\Programme\gamigo\heroes in the sky\HIS.exe" = C:\Programme\gamigo\heroes in the sky\HIS.exe:*:Enabled:his -- File not found "C:\Program Files\eFusion\BlackShot\system\blackshot.exe" = C:\Program Files\eFusion\BlackShot\system\blackshot.exe:*:Enabled:BlackShot -- File not found ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00170407-78E1-11D2-B60F-006097C998E7}" = Microsoft Word 2000 SR-1 "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0134A1A1-C283-4A47-91A1-92F19F960372}" = Adobe Creative Suite 2 "{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4 "{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4 "{075473F5-846A-448B-BCB3-104AA1760205}" = Roxio RecordNow Data "{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "{098727E1-775A-4450-B573-3F441F1CA243}" = kuler "{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4 "{0A0873E1-D9BA-4994-B85D-A0A331EF1F0C}" = Intel(R) PRO Network Connections "{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4 "{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4 "{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4 "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300" = Canon iP4300 "{11C762F9-95EA-486A-A8E7-683A50C231C1}" = SmartFTP Client "{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Roxio DLA "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{15BF7AAF-846C-4A6D-80E1-5D1FC7FB461B}" = Adobe SGM CS4 "{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4 "{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB "{17E864E1-AB1A-4D8D-891D-4A5B64C2A4B9}" = LevelR "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR "{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015}" = Corel Graphics Suite 11 "{1DCA3EAA-6EB5-4563-A970-EA14D75037BA}" = Adobe InDesign CS4 "{1E04CB54-AF4E-4AC3-B4B7-C0A160BE57F1}" = Adobe InDesign CS4 Icon Handler "{21657574-BD54-48A2-9450-EB03B2C7FC29}" = Roxio MyDVD LE "{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime "{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23 "{2BAF2B96-7560-48B4-87D4-10178DDBE217}" = Adobe InDesign CS4 Application Feature Set Files (Roman) "{2C38C251-DE7B-40DC-9D26-C54044348DE5}" = BBI USB WIRELESS CONTROLLER "{303F7619-4E67-450F-985A-A2DF51B30AC8}" = Adobe Setup "{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4 "{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player "{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4 "{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4 "{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin "{3EE33958-7381-4E7B-A4F3-6E43098E9E9C}" = URL Assistant "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{42A74897-DE10-11D5-AB0D-000374890932}" = Perfect FTP "{46548E80-0407-0000-7E8A-45000F855001}" = Adobe GoLive CS2 "{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A52555C-032A-4083-BDD9-6A85ABFB39A8}" = Adobe SING CS4 "{50127036-D453-11D9-AB11-000374890932}" = Internet Software Pak "{5B6BE547-21E2-49CA-B2E2-6A5F470593B1}" = Sonic Activation Module "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4 "{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support "{6723B21B-AECC-4987-AF90-6B7E4CBF3C41}" = ColorNavigator "{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK "{6913FBE5-1B4B-4308-8DDD-2944F9C91E06}" = ATI Catalyst Control Center "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{74F7662C-B1DB-489E-A8AC-07A06B24978B}" = Dell System Restore "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7CC7BDD5-6F10-4724-96A1-EAC7D9F2831C}" = Adobe InDesign CS4 Common Base Files "{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4 "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4 "{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4 "{87532CAB-7932-4F84-8937-823337622807}" = Adobe Illustrator CS4 "{87928EE0-041D-11D6-BCD5-00A0244800F4}" = Win.Suite "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine "{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer "{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system "{90546A9B-9B86-4D8A-B381-EF8D8AAE73E1}" = Extensis Suitcase 9.2 "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager "{90AF0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office PowerPoint Viewer 2003 "{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4 "{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4 "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{98E8A2EF-4EAE-43B8-A172-74842B764777}" = InterVideo WinDVD 4 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AB708C9B-97C8-4AC9-899B-DBF226AC9382}" = Roxio RecordNow Audio "{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch "{AC76BA86-1033-F400-7760-000000000004}_941" = Adobe Acrobat 9.4.1 - CPSID_83708 "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B12665F4-4E93-4AB4-B7FC-37053B524629}" = Roxio RecordNow Copy "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B29AD377-CC12-490A-A480-1452337C618D}" = Connect "{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008 "{B5C209B1-8DDB-4642-A573-375B951514CB}" = Apple Mobile Device Support "{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4 "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player "{B74D4E10-6884-0000-0000-000000000103}" = Adobe Bridge 1.0 "{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module "{BBBCAE4B-B416-4182-A6F2-438180894A81}" = Napster "{BC7E2C06-D255-4300-AA12-33AB54D009AC}" = Adobe Creative Suite 4 Design Standard "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C49DAA9C-5BA8-459A-8244-E57B69DF0F04}" = Suite Specific "{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4 "{C7B8E06E-EBBC-4210-93AB-DFC8760E3FC9}" = Works Suite-Betriebssystem-Pack "{C86E7C99-E4AD-79C7-375B-1AEF9A91EC2B}" = Acrobat.com "{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D2988E9B-C73F-422C-AD4B-A66EBE257120}" = MCU "{e7394a0f-3f80-45b1-87fc-abcd51893246}" = Python 2.6.4 "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0 "{EE0D5DCD-2B97-4473-98DF-E93C0BD92F7A}" = Adobe Stock Photos 1.0 "{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help "{F2260E94-80F2-4CB1-B6B1-6043D9BFFA47}" = Works-Synchronisierung "{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4 "{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4 "{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All "{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "3F4E49464F141105CA373E77D00E57404393778F" = Windows-Treiberpaket - ColorVision Inc (Spyder) USB (08/07/2006 1.0.0.2) "4154C41B994ACEA1D5B5DCD51B4EAA3272CAD394" = Windows-Treiberpaket - Datacolor (Spyder3) USB (09/10/2007 1.0.0.3) "4BCA7532847C66A175AD419E8ED0CB00EA9F9A4A" = Windows-Treiberpaket - X-Rite (i1) XRiteDevices (08/21/2006 2.40.0.1315) "4E0F9F38E610D91FA71E1E43F274568B68C54028" = Windows-Treiberpaket - X-Rite (i1) XRiteDevices (08/21/2006 2.40.0.1315) "79EC760EF05657EC2806CC712767C4C3FCE76693" = Windows-Treiberpaket - X-Rite (X-Rite) USB (01/10/2007 3.1.0.0) "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11 "Adobe SVG Viewer" = Adobe SVG Viewer 3.0 "Adobe_1e3ba55b33b1e8227645fb9c82acca3" = Adobe Creative Suite 4 Design Standard "ATI Display Driver" = ATI Display Driver "Audacity_is1" = Audacity 1.2.6 "AviSynth" = AviSynth 2.5 "BE6334FA182AB4DD51AECFD703C81D6B65B2BBF3" = Windows-Treiberpaket - X-Rite (i1display) XRiteDevices (08/21/2006 2.0.0.0) "Canon iP4300 Benutzerregistrierung" = Canon iP4300 Benutzerregistrierung "CCleaner" = CCleaner (remove only) "com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player "com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com "DirectXMediaRuntime" = DirectX Media Runtime 5.2b "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "ElsterFormular 11.5.0.4546" = ElsterFormular "Excel" = Microsoft Excel 97 "FLVPlayer" = FLV Player 1.3.3 "FoneSync" = FoneSync "Free FLV Converter_is1" = Free FLV Converter V 6.4.1 "GMX Upload-Manager" = GMX Upload-Manager "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie8" = Windows Internet Explorer 8 "InstallShield_{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015}" = Corel Graphics Suite 11 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Maxi DSL_is1" = Maxi DSL "MediaNavigation.CDLabelPrint" = CD-LabelPrint "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) "Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7) "NIS" = Norton Internet Security "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "OfotoEZUpload" = KODAK EASYSHARE Gallery Upload ActiveX Control "PunkBusterSvc" = PunkBuster Services "RealPlayer 6.0" = RealPlayer "SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service "SearchAssist" = SearchAssist "WIC" = Windows Imaging Component "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR "WMFDist11" = Windows Media Format 11 runtime "Works2001Setup" = Microsoft Works 2001-Setup-Start "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 "XviD MPEG4 Video Codec" = XviD MPEG4 Video Codec (remove only) ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 06.01.2011 08:06:42 | Computer Name = *****SHD | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a624b. Error - 06.01.2011 08:15:06 | Computer Name = *****SHD | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a624b. Error - 06.01.2011 08:41:50 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 06.01.2011 08:41:50 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 06.01.2011 13:42:59 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 06.01.2011 13:43:00 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 06.01.2011 16:43:04 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 06.01.2011 16:43:04 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 06.01.2011 17:54:13 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 06.01.2011 17:54:14 | Computer Name = *****SHD | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . [ System Events ] Error - 05.01.2011 06:51:48 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7000 Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 05.01.2011 06:51:48 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7023 Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet: %%2 Error - 05.01.2011 15:31:41 | Computer Name = *****SHD | Source = Windows Update Agent | ID = 16 Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht, eine Verbindung herzustellen. Error - 06.01.2011 05:27:10 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7000 Description = Der Dienst "WIRELESS USB Filter Driver" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 06.01.2011 05:27:10 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7000 Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 06.01.2011 05:27:10 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7023 Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet: %%2 Error - 06.01.2011 11:51:01 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7000 Description = Der Dienst "WIRELESS USB Filter Driver" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 06.01.2011 11:51:01 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7000 Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 06.01.2011 11:51:01 | Computer Name = *****SHD | Source = Service Control Manager | ID = 7023 Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet: %%2 Error - 06.01.2011 16:17:02 | Computer Name = *****SHD | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} < End of report > |
10.01.2011, 19:49 | #6 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Habe zur Sicherheit jeden Tag Hijack, escan und malware laufen lassen. Niemand findet etwas. Auch Norton hat beim Komplettscan nichts entdeckt :-) |
10.01.2011, 20:27 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Sry hab deinen Strang übersehen Ist das rein zufällig ein Bürorechner? XP Professtional und diverse teure Adobesoftware ist nicht gerade üblich oder bezahlbar auf Privatkisten
__________________ Logfiles bitte immer in CODE-Tags posten |
10.01.2011, 21:06 | #8 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Hallo cosinus, ist ein Grafik-PC mit Adobe CS2 und einem Update für CS4. Ist auch Schriftenverwaltung etc. mit installiert. Dazu Kalibrierungssoftwar für einen Eizo CG222W (hardwarekalibrierter Bildschirm). Nur falls einige Einträge komisch erscheinen sollten. Ich bin hauptberuflich in der Medienbranche tätig und der Rechner läuft über mein Nebengewerbe (80% geschäftliche Nutzung, 20% private Nutzung). Falls Du Dir deswegen sorgen machen solltest: Die Software ist ganz legal bei CANCOM gekauft und über Adobe offiziell aktiviert und registriert ... und ja, ist teuer. Vor allem die Updates gehen ins Geld, aber das geht am Thema vorbei. Ist auch der Grund, warum ich mich so über den Befall gewundert habe. Bin zwar ständig im Netz unterwegs auf der Suche nach ausgefallenen Blogs, Foren und Grafikseiten, habe aber nie irgendwelche Tauschbörsen oder Grafikdownloadseiten verwendet. Wäre mir viel zu riskant. Dafür kommen natürlich immer mal wieder Daten von Kunden auf CD, Wechselfestplatte oder Sticks ... |
10.01.2011, 21:08 | #9 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Sorry ... meine nicht Grafikdownloadseiten, sondern Softwaredownloadseiten ;-) |
10.01.2011, 21:12 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O4 - HKLM..\Run: [] File not found O33 - MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\Shell - "" = AutoRun O33 - MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\Shell\AutoRun\command - "" = G:\pushinst.exe -- File not found [2011.01.07 13:46:02 | 035,636,144 | ---- | M] () -- C:\Eigene Dateien\pinfect.zip @Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81 @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:58CF2C8C :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.01.2011, 21:12 | #11 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Tschuldige wenn ich nochmal ergänze: Der Rechner ist natürlich schon mein eigener und nicht der meines Arbeitgebers. Gehöre zu den vielen Grafikern, die sich nebenbei noch ihr Hobby (Fotografieren + Photoshop) mit kleinen Aufträgen finanzieren. Nur mach ich das halt auf legalem Wege per Gewerbeschein. Der Rechner ist übrigens ein DELL, dass XP Professionell war da von Haus auf mit drauf ;-) |
10.01.2011, 21:43 | #12 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung so, hier nun das neue LOG *gespannt* Code:
ATTFilter All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b44cbd8c-894d-11dc-a2bb-0019d1259ddf}\ not found. File G:\pushinst.exe not found. C:\Eigene Dateien\pinfect.zip moved successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:58CF2C8C deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: Joke ->Temp folder emptied: 832061762 bytes ->Temporary Internet Files folder emptied: 36299708 bytes ->Java cache emptied: 62739 bytes ->FireFox cache emptied: 41627765 bytes ->Flash cache emptied: 848 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 213394 bytes ->Flash cache emptied: 348 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 135846564 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1075938 bytes %systemroot%\System32 .tmp files removed: 68520391 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 323181813 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1.372,00 mb OTL by OldTimer - Version 3.2.20.1 log created on 01102011_213647 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temp\~DFE396.tmp not found! File\Folder C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temp\~DFE3A6.tmp not found! File\Folder C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temp\~DFE403.tmp not found! File\Folder C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temp\~DFE413.tmp not found! File\Folder C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temp\~DFE453.tmp not found! File\Folder C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temp\~DFE463.tmp not found! C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P00C2E6J\ads[1].htm moved successfully. C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5XCWBG8\94559-trojan-dns-anleitung-durchgefuehrt-gmer-auswertung[1].html moved successfully. C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DIBYBWKA\ads[2].htm moved successfully. C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\91YO0BEL\ads[1].htm moved successfully. C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully. C:\Dokumente und Einstellungen\Joke\Lokale Einstellungen\Temporary Internet Files\SuggestedSites.dat moved successfully. File\Folder C:\WINDOWS\temp\Perflib_Perfdata_5bc.dat not found! Registry entries deleted on Reboot... |
10.01.2011, 22:36 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Hast du eine Komplettsicherung des Rechners für den Fall der Fälle? Du bist ja auch beruflich sehr von ihm abhängig...
__________________ Logfiles bitte immer in CODE-Tags posten |
11.01.2011, 00:26 | #14 |
| TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Mache regelmäßig Datensicherung auf Wechselfestplatten und CD/DVD. Hast Du was gesehen, was Dich beunruhigt? |
11.01.2011, 15:32 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Nur für den Fall der Fälle Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung |
auswertung, bot, escan, fehler, google, harddisk, hijack, hintergrund, internet, malware, microsoft, neue, neuer rechner, neustart, problem, seiten, sicherheit, suche, symantec, system, systemwiederherstellung, temp, trojan, udp, worm, ändern |