| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: online banking gesperrt wegen goziWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.01.2011, 10:35
| #1 |
 |  online banking gesperrt wegen gozi Hallo allerseits! Vorgestern erfuhr ich von meiner Bank, dass mein Online Banking wegen dem Gozi Trojaner gesperrt sei und man mir rate alles zu formatieren. Das fanden die schlauen Banker allerdings bereits um Weihnachten heraus, hielten es aber nicht für nötig mich zwischenzeitlich zu informieren.  Meine Internet Recherche brachte mich schnell auf dieses Forum. Andere Gozi Threads brachten mir aber keine Lösung. Ich habe Windows xp und halte Antivir und Windows updates immer aktuell. Kurz vor Weihnachten hatte ich Pinnacle VideoSpin lite installiert und hatte hinterher den rootkit "InprocServer32", der sich mit dem rootkit revealer aber wieder entfernen ließ. Die Malwarebytes, Antvir und otl Logs hänge ich an. der bootkit remover meldet einen unknown boot code. Die xp recovery console ist schon lange bei mir installiert. Ich hoffe, ihr könnt mir weiterhelfen und ich komme um eine Formatierung drum herum. Vielen Dank und besten Gruß Chriss |
|
21.01.2011, 10:37
| #2 |
| | online banking gesperrt wegen gozi mbam log
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5558
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
20.01.2011 09:45:30
mbam-log-2011-01-20 (09-45-30).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|Z:\|)
Durchsuchte Objekte: 367562
Laufzeit: 1 Stunde(n), 5 Minute(n), 27 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 21. Januar 2011 08:26
Es wird nach 2384044 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : abc
Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 08.12.2010 13:48:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.05.2010 09:32:29
LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 13:48:39
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:11:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:00:53
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 11:00:53
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 11:00:53
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 11:00:54
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 11:00:54
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 11:00:54
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 11:00:54
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 11:00:54
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 11:00:54
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 11:00:54
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 11:00:54
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 11:00:54
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 07:57:39
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 07:57:39
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 07:57:40
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 08:46:42
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 13:39:59
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 09:25:02
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 14:04:46
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 09:59:35
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 09:48:20
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 08:54:49
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 08:54:49
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 07:22:41
VBASE025.VDF : 7.11.1.156 2048 Bytes 17.01.2011 07:22:41
VBASE026.VDF : 7.11.1.157 2048 Bytes 17.01.2011 07:22:41
VBASE027.VDF : 7.11.1.158 2048 Bytes 17.01.2011 07:22:41
VBASE028.VDF : 7.11.1.159 2048 Bytes 17.01.2011 07:22:41
VBASE029.VDF : 7.11.1.160 2048 Bytes 17.01.2011 07:22:41
VBASE030.VDF : 7.11.1.161 2048 Bytes 17.01.2011 07:22:41
VBASE031.VDF : 7.11.1.182 111104 Bytes 19.01.2011 07:39:17
Engineversion : 8.2.4.148
AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 09:23:00
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 07.01.2011 08:51:42
AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 07:14:59
AESBX.DLL : 8.1.3.2 254324 Bytes 24.11.2010 07:14:59
AERDL.DLL : 8.1.9.2 635252 Bytes 22.09.2010 19:31:25
AEPACK.DLL : 8.2.4.7 512375 Bytes 31.12.2010 09:25:05
AEOFFICE.DLL : 8.1.1.15 205178 Bytes 18.01.2011 07:22:43
AEHEUR.DLL : 8.1.2.66 3166582 Bytes 18.01.2011 07:22:43
AEHELP.DLL : 8.1.16.0 246136 Bytes 05.12.2010 08:45:10
AEGEN.DLL : 8.1.5.1 397683 Bytes 07.01.2011 08:51:40
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 07:14:56
AECORE.DLL : 8.1.19.0 196984 Bytes 05.12.2010 08:45:09
AEBB.DLL : 8.1.1.0 53618 Bytes 21.05.2010 09:32:28
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 07.11.2010 17:07:03
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 08.12.2010 13:48:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 13:48:38
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 07.11.2010 17:07:03
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Freitag, 21. Januar 2011 08:26
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'NOTEPAD.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'msseces.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '468' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Ende des Suchlaufs: Freitag, 21. Januar 2011 09:49
Benötigte Zeit: 1:22:31 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
15404 Verzeichnisse wurden überprüft
643420 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
643420 Dateien ohne Befall
3709 Archive wurden durchsucht
0 Warnungen
0 Hinweise
615241 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden
|
|
21.01.2011, 10:43
| #3 |
| | online banking gesperrt wegen gozi die otl logs habe ich auf einen Zeitraum von 60 Tagen erstellt, weil die Entdeckung des Trojaners durch die Bank schon so lange her ist. Wenn ich Euch damit zuviel Arbeit mache, erstelle ich nochmal den Standard 30 Tage log - kann ich dann aber wahrscheinlich erst morgen abend posten, weil ich heute und morgen lange arbeiten muss.
__________________OTL Logfile: Code:
ATTFilter OTL logfile created on: 19.01.2011 14:12:44 - Run 1 OTL by OldTimer - Version 3.2.20.2 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free 5,00 Gb Paging File | 5,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 97,65 Gb Total Space | 61,89 Gb Free Space | 63,37% Space Free | Partition Type: NTFS Drive D: | 200,43 Gb Total Space | 101,01 Gb Free Space | 50,40% Space Free | Partition Type: NTFS Drive E: | 298,09 Gb Total Space | 257,61 Gb Free Space | 86,42% Space Free | Partition Type: NTFS Computer Name: abc | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 60 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe (Logitech Inc.) PRC - C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe (Logitech Inc.) PRC - C:\WINDOWS\system32\PSIService.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.) SRV - (FsUsbExService) -- C:\WINDOWS\system32\FsUsbExService.Exe (Teruten) SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe () SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (PnkBstrK) -- C:\WINDOWS\system32\drivers\PnkBstrK.sys () DRV - (Haspnt) -- C:\WINDOWS\system32\drivers\Haspnt.sys (Aladdin Knowledge Systems) DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys () DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys () DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys () DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (61883) -- C:\WINDOWS\system32\drivers\61883.sys (Microsoft Corporation) DRV - (Avc) -- C:\WINDOWS\system32\drivers\avc.sys (Microsoft Corporation) DRV - (MSDV) -- C:\WINDOWS\system32\drivers\msdv.sys (Microsoft Corporation) DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider) DRV - (sscdmdm) -- C:\WINDOWS\system32\drivers\sscdmdm.sys (MCCI Corporation) DRV - (sscdmdfl) -- C:\WINDOWS\system32\drivers\sscdmdfl.sys (MCCI Corporation) DRV - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\WINDOWS\system32\drivers\sscdbus.sys (MCCI Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (JRAID) -- C:\WINDOWS\system32\DRIVERS\jraid.sys (JMicron Technology Corp.) DRV - (motmodem) -- C:\WINDOWS\system32\drivers\motmodem.sys (Motorola) DRV - (Hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bf2.de/forum/index.php?page=Index IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://www.n-tv.de/" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.01.18 18:06:50 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.01.18 18:06:50 | 000,000,000 | ---D | M] [2009.03.25 22:13:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2011.01.18 18:08:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\extensions [2010.05.21 10:12:47 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.01.18 18:08:50 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.10.24 22:33:43 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2010.10.24 22:33:33 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2011.01.18 18:06:47 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2011.01.18 18:06:47 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.01.18 18:06:47 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2011.01.18 18:06:47 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2011.01.18 18:06:47 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.01.12 17:00:14 | 000,427,930 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 14760 more lines... O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O4 - HKLM..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe (Gigabyte Technology Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe () O4 - HKLM..\Run: [Launch LCDMon] C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe (Logitech Inc.) O4 - HKLM..\Run: [MSC] C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKCU..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207259953031 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.04.03 22:41:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - E:\autorun.inf -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: bootINST - (C:\WINDOWS\system32\comsgfat.dll) - File not found O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 60 Days ========== [2011.01.19 13:56:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy [2011.01.19 13:46:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads [2011.01.19 13:40:54 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2011.01.19 13:38:06 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011.01.19 13:34:20 | 000,083,968 | ---- | C] (eSage Lab) -- C:\Dokumente und Einstellungen\***\Desktop\remover.exe [2011.01.19 08:31:16 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll [2011.01.19 08:31:16 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui [2011.01.18 21:27:51 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe [2011.01.18 21:02:05 | 000,162,616 | ---- | C] (Sysinternals - www.sysinternals.com) -- C:\RegDelNull.exe [2011.01.18 18:02:54 | 002,790,864 | ---- | C] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\install_flash_player.exe [2011.01.18 15:07:07 | 000,222,080 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe [2011.01.18 15:04:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PCHealth [2011.01.18 15:04:16 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client [2011.01.18 15:00:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-0-Dateien [2011.01.18 15:00:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-2-Dateien [2011.01.18 14:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-Dateien [2011.01.18 14:58:26 | 008,135,296 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\mseinstall.exe [2011.01.18 11:09:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\wohnung2010_12 [2011.01.18 11:09:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\simit [2011.01.14 11:33:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\order-Dateien [2011.01.14 11:09:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\print-Dateien [2011.01.13 10:26:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\me [2011.01.05 10:41:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\My NPS Files [2011.01.03 11:22:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\im010_12 [2011.01.03 11:01:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\mission guide-Dateien [2010.12.30 11:35:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\mbe [2010.12.24 16:19:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\köhler [2010.12.24 09:52:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\videobearbeitung [2010.12.24 09:52:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\ff13 [2010.12.22 19:36:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\anti_rootkit_2010_dez [2010.12.15 12:10:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Pinnacle VideoSpin [2010.12.15 11:59:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle [2010.12.15 10:48:44 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys [2010.11.29 16:40:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\fenster 305 [2010.11.26 15:21:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\WHDDF ========== Files - Modified Within 60 Days ========== [2011.01.19 13:57:46 | 000,000,488 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol [2011.01.19 13:39:32 | 000,011,197 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_rem.odt [2011.01.19 13:38:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011.01.19 13:34:02 | 000,039,605 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_remover.rar [2011.01.19 13:30:00 | 004,157,687 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CoFi.exe [2011.01.19 13:18:52 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2011.01.19 13:13:18 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2011.01.19 13:13:14 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.01.19 13:13:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.01.19 13:12:10 | 011,534,336 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.dat [2011.01.19 09:57:52 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bmgl18l5.exe [2011.01.19 09:22:17 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2011.01.18 21:33:14 | 000,026,064 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2011.01.18 21:32:48 | 001,447,096 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.01.18 21:27:31 | 000,318,369 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.zip [2011.01.18 18:03:04 | 002,790,864 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\install_flash_player.exe [2011.01.18 17:36:47 | 000,010,240 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.01.18 15:05:15 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif [2011.01.18 15:00:47 | 000,185,093 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-0.htm [2011.01.18 15:00:34 | 000,107,387 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-2.htm [2011.01.18 14:59:11 | 000,140,818 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner.htm [2011.01.18 14:58:37 | 008,135,296 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\mseinstall.exe [2011.01.18 12:04:40 | 000,100,758 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\otl_scan.rtf [2011.01.14 11:35:11 | 000,040,544 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\print.html [2011.01.14 11:33:53 | 000,041,174 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\order.htm [2011.01.12 17:00:14 | 000,427,930 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2011.01.12 10:47:05 | 000,060,707 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_treasure.png [2011.01.12 10:46:15 | 000,103,731 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_synthesis.png [2011.01.12 10:45:33 | 000,069,581 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_chocobo.png [2011.01.11 11:04:49 | 000,065,536 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\gPVCUK60.doc [2011.01.08 09:21:55 | 000,427,804 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110112-170014.backup [2011.01.07 11:48:58 | 000,000,472 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\gc.gdb [2011.01.07 10:10:14 | 000,012,862 | ---- | M] () -- C:\WINDOWS\EPISMG00.SWB [2011.01.05 18:27:41 | 000,010,965 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\waren.odt [2011.01.05 09:19:38 | 000,051,086 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Email_Auftragsstatusaenderun39374.pdf [2011.01.04 21:27:41 | 000,271,086 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\800px.png [2011.01.03 18:58:38 | 000,014,949 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\stone.pdf [2011.01.03 11:01:41 | 000,270,883 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\mission guide.htm [2011.01.02 19:15:54 | 000,002,828 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2011.01.02 11:35:00 | 008,364,423 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\180.gpx [2010.12.31 10:48:28 | 000,024,741 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\011_01.pdf [2010.12.24 15:46:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.12.23 22:10:27 | 000,002,421 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\ttestset0.odb [2010.12.22 08:57:44 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.12.18 19:45:53 | 000,426,940 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110108-092155.backup [2010.12.13 13:25:20 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\test [2010.12.08 15:04:32 | 000,426,196 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20101218-194553.backup [2010.11.29 19:17:20 | 000,017,408 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db [2010.11.28 11:47:30 | 003,817,289 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CIMG0001.JPG [2010.11.24 08:15:00 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys ========== Files Created - No Company Name ========== [2011.01.19 13:57:46 | 000,000,488 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol [2011.01.19 13:39:32 | 000,011,197 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_rem.odt [2011.01.19 13:34:01 | 000,039,605 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_remover.rar [2011.01.19 13:29:47 | 004,157,687 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CoFi.exe [2011.01.19 09:57:50 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bmgl18l5.exe [2011.01.18 21:27:29 | 000,318,369 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.zip [2011.01.18 15:09:48 | 000,000,416 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2011.01.18 15:05:15 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif [2011.01.18 15:00:46 | 000,185,093 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-0.htm [2011.01.18 15:00:34 | 000,107,387 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-2.htm [2011.01.18 14:59:10 | 000,140,818 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner.htm [2011.01.18 12:04:39 | 000,100,758 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\otl_scan.rtf [2011.01.14 11:33:53 | 000,041,174 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\order.htm [2011.01.14 11:09:56 | 000,040,544 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\print.html [2011.01.14 10:52:18 | 034,455,547 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Works.pdf [2011.01.12 10:47:05 | 000,060,707 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_treasure.png [2011.01.12 10:46:15 | 000,103,731 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_synthesis.png [2011.01.12 10:45:32 | 000,069,581 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_chocobo.png [2011.01.11 11:04:49 | 000,065,536 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\AngPVCUKö60.doc [2011.01.07 11:48:58 | 000,000,472 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\gc2.gdb [2011.01.07 10:43:44 | 008,364,423 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\180.gpx [2011.01.05 09:19:38 | 000,051,086 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Email_Auftragsstatusaender4.pdf [2011.01.04 21:27:40 | 000,271,086 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ard-800px.png [2011.01.03 18:58:37 | 000,014,949 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\stone.pdf [2011.01.03 11:01:40 | 000,270,883 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\mission guide.htm [2010.12.31 10:48:28 | 000,024,741 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\011_01.pdf [2010.12.23 22:10:27 | 000,002,421 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\testse.odb [2010.12.13 13:25:20 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\test [2010.11.28 12:07:34 | 003,817,289 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CIMG0001.JPG [2010.07.05 08:51:45 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2010.06.13 11:44:07 | 000,000,383 | ---- | C] () -- C:\WINDOWS\System32\haspdos.sys [2010.04.15 19:54:07 | 000,000,358 | ---- | C] () -- C:\WINDOWS\bctester_de.INI [2010.02.15 23:08:55 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db [2010.01.12 04:35:44 | 000,080,416 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll [2009.12.25 12:35:58 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll [2009.12.25 12:35:58 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys [2009.12.25 12:35:50 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\$_hpcst$.hpc [2009.12.21 12:59:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\geotrans2.INI [2009.09.04 21:22:18 | 000,000,089 | ---- | C] () -- C:\WINDOWS\ULead32.ini [2009.09.03 18:38:46 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.07.29 11:48:51 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.07.29 11:48:51 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009.07.01 15:57:48 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys [2009.04.04 17:27:15 | 000,000,225 | ---- | C] () -- C:\WINDOWS\LOGINPUT.INI [2009.04.04 17:27:15 | 000,000,213 | ---- | C] () -- C:\WINDOWS\PCWGXDRV.INI [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2008.05.26 13:35:55 | 000,000,577 | ---- | C] () -- C:\WINDOWS\System32\gmsblist.dll [2008.05.25 19:50:21 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2008.05.15 18:20:47 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini [2008.05.15 18:19:48 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI [2008.05.13 17:33:52 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.05.02 20:42:27 | 000,010,240 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.04.30 16:52:16 | 000,137,200 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2008.04.30 16:52:16 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys [2008.04.28 19:38:14 | 000,002,828 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2008.04.28 19:38:14 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\F164002D70.sys [2008.04.28 14:54:19 | 000,000,206 | ---- | C] () -- C:\WINDOWS\System32\dcffb5_g.dll [2008.04.05 16:43:59 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2008.04.05 16:42:15 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008.04.04 11:33:07 | 000,000,311 | ---- | C] () -- C:\WINDOWS\game.ini [2008.04.04 11:23:19 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2008.04.04 08:59:38 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys [2008.04.04 01:09:08 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2008.04.04 00:29:01 | 000,026,064 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2008.04.03 23:29:42 | 001,069,228 | ---- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2008.04.03 23:29:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008.04.03 23:29:22 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini [2008.04.03 22:49:56 | 003,739,676 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2008.04.03 22:45:54 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini [2008.04.03 22:41:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\control.ini [2008.04.03 22:39:20 | 000,000,037 | ---- | C] () -- C:\WINDOWS\vbaddin.ini [2008.04.03 22:39:20 | 000,000,036 | ---- | C] () -- C:\WINDOWS\vb.ini [2008.04.03 22:38:54 | 000,027,055 | ---- | C] () -- C:\WINDOWS\System32\tslabels.ini [2008.04.03 22:38:53 | 000,003,999 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.ini [2007.12.05 00:41:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2007.10.25 17:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2004.08.04 13:00:00 | 001,015,477 | ---- | C] () -- C:\WINDOWS\System32\esentprf.ini [2004.08.04 13:00:00 | 000,733,696 | ---- | C] () -- C:\WINDOWS\System32\qedwipes.dll [2004.08.04 13:00:00 | 000,355,112 | ---- | C] () -- C:\WINDOWS\System32\msjetoledb40.dll [2004.08.04 13:00:00 | 000,270,848 | ---- | C] () -- C:\WINDOWS\System32\sbe.dll [2004.08.04 13:00:00 | 000,253,440 | ---- | C] () -- C:\WINDOWS\System32\compatui.dll [2004.08.04 13:00:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\System32\ir32_32.dll [2004.08.04 13:00:00 | 000,186,880 | ---- | C] () -- C:\WINDOWS\System32\encdec.dll [2004.08.04 13:00:00 | 000,094,282 | ---- | C] () -- C:\WINDOWS\System32\msencode.dll [2004.08.04 13:00:00 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\amstream.dll [2004.08.04 13:00:00 | 000,053,478 | ---- | C] () -- C:\WINDOWS\System32\tcpmon.ini [2004.08.04 13:00:00 | 000,042,809 | ---- | C] () -- C:\WINDOWS\System32\key01.sys [2004.08.04 13:00:00 | 000,042,537 | ---- | C] () -- C:\WINDOWS\System32\keyboard.sys [2004.08.04 13:00:00 | 000,035,648 | ---- | C] () -- C:\WINDOWS\System32\ntio411.sys [2004.08.04 13:00:00 | 000,035,424 | ---- | C] () -- C:\WINDOWS\System32\ntio412.sys [2004.08.04 13:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio804.sys [2004.08.04 13:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio404.sys [2004.08.04 13:00:00 | 000,034,032 | ---- | C] () -- C:\WINDOWS\System32\ntio.sys [2004.08.04 13:00:00 | 000,029,370 | ---- | C] () -- C:\WINDOWS\System32\ntdos411.sys [2004.08.04 13:00:00 | 000,029,274 | ---- | C] () -- C:\WINDOWS\System32\ntdos412.sys [2004.08.04 13:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos804.sys [2004.08.04 13:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos404.sys [2004.08.04 13:00:00 | 000,027,914 | ---- | C] () -- C:\WINDOWS\System32\ntdos.sys [2004.08.04 13:00:00 | 000,027,097 | ---- | C] () -- C:\WINDOWS\System32\country.sys [2004.08.04 13:00:00 | 000,021,542 | ---- | C] () -- C:\WINDOWS\System32\mqperf.ini [2004.08.04 13:00:00 | 000,017,241 | ---- | C] () -- C:\WINDOWS\System32\rsvp.ini [2004.08.04 13:00:00 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\tsd32.dll [2004.08.04 13:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\msdmo.dll [2004.08.04 13:00:00 | 000,014,060 | ---- | C] () -- C:\WINDOWS\System32\pschdprf.ini [2004.08.04 13:00:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\win87em.dll [2004.08.04 13:00:00 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\scriptpw.dll [2004.08.04 13:00:00 | 000,009,032 | ---- | C] () -- C:\WINDOWS\System32\ansi.sys [2004.08.04 13:00:00 | 000,006,287 | ---- | C] () -- C:\WINDOWS\System32\rasctrs.ini [2004.08.04 13:00:00 | 000,004,992 | ---- | C] () -- C:\WINDOWS\System32\himem.sys [2004.08.04 13:00:00 | 000,004,438 | ---- | C] () -- C:\WINDOWS\System32\perfci.ini [2004.08.04 13:00:00 | 000,004,233 | ---- | C] () -- C:\WINDOWS\System32\perfwci.ini [2004.08.04 13:00:00 | 000,002,656 | ---- | C] () -- C:\WINDOWS\System32\netware.drv [2004.08.04 13:00:00 | 000,001,783 | ---- | C] () -- C:\WINDOWS\System32\perffilt.ini [2004.08.04 13:00:00 | 000,001,405 | ---- | C] () -- C:\WINDOWS\msdfmap.ini [2004.08.04 13:00:00 | 000,000,602 | ---- | C] () -- C:\WINDOWS\win.ini [2004.08.04 13:00:00 | 000,000,369 | ---- | C] () -- C:\WINDOWS\System32\prodspec.ini [2004.08.04 13:00:00 | 000,000,227 | ---- | C] () -- C:\WINDOWS\system.ini [2001.08.18 05:54:08 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\paqsp.dll ========== LOP Check ========== [2008.07.27 10:15:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software [2010.06.06 14:52:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CwGet [2009.10.29 10:53:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes [2010.12.15 11:59:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle [2008.06.03 08:07:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft [2009.07.29 11:50:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages [2010.08.05 08:59:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2008.04.16 09:59:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.tswebeditor [2011.01.05 18:25:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus [2008.04.04 11:23:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools [2009.12.25 14:44:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EurekaLog [2010.10.15 20:17:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla [2010.10.15 20:41:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FMZilla [2008.04.29 11:57:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GARMIN [2008.07.04 19:41:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HTML Executable [2008.10.09 23:30:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mount&Blade [2009.09.03 18:25:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pegasys Inc [2009.12.25 12:35:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Samsung [2008.04.14 13:53:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SlySoft [2010.10.21 20:42:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spesoft Audio Converter [2010.03.08 21:11:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TS3Client [2009.09.12 17:09:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TubeBox [2009.07.29 11:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ubisoft [2009.11.16 12:26:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vphonet [2011.01.19 13:18:52 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 146 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164 < End of report > --- --- --- OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 19.01.2011 14:12:44 - Run 1
OTL by OldTimer - Version 3.2.20.2 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 61,89 Gb Free Space | 63,37% Space Free | Partition Type: NTFS
Drive D: | 200,43 Gb Total Space | 101,01 Gb Free Space | 50,40% Space Free | Partition Type: NTFS
Drive E: | 298,09 Gb Total Space | 257,61 Gb Free Space | 86,42% Space Free | Partition Type: NTFS
Computer Name: abc | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 60 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Spiele\EVE\bin\ExeFile.exe" = D:\Spiele\EVE\bin\ExeFile.exe:*:Enabled:CCP ExeFile
"D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe" = D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"D:\Programme\tswebeditor\tswebeditor.exe" = D:\Programme\tswebeditor\tswebeditor.exe:*:Disabled:tsWebEditor -- (thaler)
"D:\Programme\Azureus\Azureus.exe" = D:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus -- (Aelitis)
"D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe" = D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32 -- (Crytek GmbH)
"D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe" = D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32 -- (Crytek GmbH)
"D:\Programme\Foxit Software\PDF Editor\PDFEdit.exe" = D:\Programme\Foxit Software\PDF Editor\PDFEdit.exe:*:Disabled:Foxit PDF Editor, the first REAL editor for PDF files! -- (Foxit Software Company)
"D:\Programme\EA Games\Mirror's Edge\Binaries\MirrorsEdge.exe" = D:\Programme\EA Games\Mirror's Edge\Binaries\MirrorsEdge.exe:*:Enabled:Mirror's Edge™ -- (EA Digital Illusions CE AB)
"D:\Programme\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe" = D:\Programme\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe:*:Disabled:Anno4Web -- ()
"D:\Programme\Vphonet\Vphonet.exe" = D:\Programme\Vphonet\Vphonet.exe:*:Enabled:Vphonet
"D:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = D:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"D:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = D:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"D:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe" = D:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM) -- (Activision Blizzard, Inc.)
"D:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe" = D:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM) -- (Activision Blizzard, Inc.)
"D:\Programme\Free Music Zilla\FMZilla.exe" = D:\Programme\Free Music Zilla\FMZilla.exe:*:Disabled:FMZilla Module
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{000E79B7-E725-4F01-870A-C12942B7F8E4}" = Crysis(R)
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{0523EAF4-402C-4435-A0DA-13C40193D811}" = Logitech GamePanel Software 2.02
"{11439F51-B8D2-4736-9CDF-8889FEBE1031}" = Nero 7 Premium
"{1873789F-59D5-4002-8A2F-60A827B78F98}_is1" = GmapTool 0.5.3
"{1B14B0C3-2D60-477C-A1FE-B88E60948854}" = OpenOffice.org 2.4
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20962D9D-D7B9-4AEE-B72B-5C9A45A1B402}" = Call of Duty(R) - World at War(TM) 1.6 Patch
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"{31492759-0E89-46B5-9770-F6E5808E3017}" = xImage
"{3324A5DC-C7F6-430A-ACC8-F251CD8F4FC7}" = Motorola Driver Installation
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3521F7CF-9343-4C1F-AE5E-0D2A57A18D2B}" = Call of Duty(R) - World at War(TM) 1.5 Patch
"{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = Gigabyte Raid Configurer
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{46E7E808-5AD2-44B6-B52C-68EB15182D8A}" = TrekMap v2
"{48B51112-BA23-42F9-AB81-7CC9F7A6E99A}" = tsWebEditor 20060218
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5E3CFCA6-C95A-47CB-A822-7FA80D423AF2}" = MapSource
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{64E72FB1-2343-4977-B4A8-262CD53D0BD3}" = Corel Paint Shop Pro Photo X2
"{6A69D94E-C569-4154-9643-72E94D1DDFDA}" = XPS Essentials Pack
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{774088D4-0777-4D78-904D-E435B318F5D2}" = Microsoft Antimalware
"{7782916E-3D46-4F1F-AC4B-3FB9D17049F4}" = Microsoft Antimalware Service DE-DE Language Pack
"{77A776C4-D10F-416D-88F0-53F2D9DCD9B3}" = Microsoft Security Client
"{859B9BCA-5376-4566-9F88-C6C9DAA7A925}" = Microsoft Security Client DE-DE Language Pack
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A0F584A7-B0C2-4D90-9580-15456B9CF63C}" = MapSource - Trip & Waypoint Manager v2
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{AEDBD563-24BB-4EE3-8366-A654DAC2D988}" = Mirror's Edge™
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BAD8CA9C-77C0-4663-B00B-A8D3B13C341B}" = Motorola Phone Tools
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1CE7EE2-8BCE-4F22-85C0-58331E33621E}" = Motorola Phone Tools
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC016F21-3970-11DE-B878-005056806466}" = Google Earth
"{CC862A04-B2B0-4A79-ADD2-4B76D6CF4DCD}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF07A1C9-098F-47DD-99E0-B6558C33871B}" = Garmin MapSource
"{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"{DCA0A35D-30F1-4ED0-971F-5FFD2F60BB08}" = bcTester 4.8 (de)
"{E237FA24-CFB3-431F-B356-DF8FB116DE4B}" = Call of Duty(R) - World at War(TM) 1.7 Patch
"{E4406ED3-B04C-44F1-ABB4-08775B74934F}" = Call Of Cthulhu DCoTE
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E4D15328-8C89-484B-B9AA-F5BE9EA6D01C}" = NVIDIA PhysX v8.10.17
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)
"7-Zip" = 7-Zip 4.57
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agfa ScanWise 1.20" = Agfa ScanWise 1.20
"Audacity_is1" = Audacity 1.2.6
"Audiograbber" = Audiograbber 1.83 SE
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Azureus" = Azureus
"Battle for Wesnoth 1.6.5" = Battle for Wesnoth 1.6.5
"CCleaner" = CCleaner
"cGPSmapper Free_is1" = cGPSmapper Free 0100d
"CloneDVD2" = CloneDVD2
"CrypTool" = CrypTool 1.4.10
"CwGet_is1" = CwGet V1.80
"DivX Setup.divx.com" = DivX-Setup
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"Foxit PDF Editor" = Foxit PDF Editor
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"GSAK_is1" = GSAK 7.7.0.109 (Final)
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{149464D9-B06F-4505-9968-FD1206F67AD3}" = Call of Duty(R) - World at War(TM) 1.3 Patch
"InstallShield_{20962D9D-D7B9-4AEE-B72B-5C9A45A1B402}" = Call of Duty(R) - World at War(TM) 1.6 Patch
"InstallShield_{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"InstallShield_{3521F7CF-9343-4C1F-AE5E-0D2A57A18D2B}" = Call of Duty(R) - World at War(TM) 1.5 Patch
"InstallShield_{A0F584A7-B0C2-4D90-9580-15456B9CF63C}" = MapSource - Trip & Waypoint Manager v2
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"InstallShield_{CC862A04-B2B0-4A79-ADD2-4B76D6CF4DCD}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"InstallShield_{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"InstallShield_{E237FA24-CFB3-431F-B356-DF8FB116DE4B}" = Call of Duty(R) - World at War(TM) 1.7 Patch
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"IrfanView" = IrfanView (remove only)
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.1.0 (Basic)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Client" = Microsoft Security Essentials
"MIKSOFT Mobile AMR converter_is1" = MIKSOFT Mobile AMR converter
"Mount&Blade" = Mount&Blade
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"PunkBusterSvc" = PunkBuster Services
"Revo Uninstaller" = Revo Uninstaller 1.88
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"ShotOnline" = ShotOnline
"Spesoft Audio Converter_is1" = Spesoft Audio Converter 1.80
"Spoiler Sync_is1" = Spoiler Sync
"ST5UNST #1" = StegaNote
"ST5UNST #2" = ENIGMA
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Ulead GIF Animator Lite Edition 1.0" = Ulead GIF Animator Lite Edition 1.0
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.6f
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEP" = XPS Essentials Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"XRECODE_is1" = XRECODE
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.0.9.1
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 04.10.2009 14:13:19 | Computer Name = abc | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung cocmainwin32.exe, Version 0.0.0.0, fehlgeschlagenes
Modul cocmainwin32.exe, Version 0.0.0.0, Fehleradresse 0x0006458d.
Error - 08.10.2009 12:13:11 | Computer Name = abc | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung CoDWaWmp.exe, Version 1.5.1220.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 25.10.2009 14:42:01 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 29.10.2009 09:12:37 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 30.10.2009 15:22:13 | Computer Name = abc | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3462, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 10.11.2009 08:53:44 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 16.11.2009 04:31:02 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 17.11.2009 08:59:22 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 28.11.2009 07:09:55 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 28.11.2009 07:11:59 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
[ System Events ]
Error - 18.12.2010 14:46:48 | Computer Name = abc | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
Fehler 0x80070003 fehlgeschlagen: Sicherheitsupdate für Windows XP (KB2423089)
Error - 22.12.2010 03:56:21 | Computer Name = abc | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 22.12.2010 03:56:21 | Computer Name = abc | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 22.12.2010 06:09:12 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 22.12.2010 15:01:45 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 23.12.2010 08:40:14 | Computer Name = abc | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.101 für die Netzwerkkarte mit der Netzwerkadresse
001A4D5C72D5 wurde durch den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
Error - 03.01.2011 13:37:44 | Computer Name = abc | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 05.01.2011 05:50:42 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 18.01.2011 13:19:42 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 19.01.2011 05:03:03 | Computer Name = abc | Source = System Error | ID = 1003
Description = Fehlercode 00000019, 1. Parameter 00000020, 2. Parameter 89eb92e8,
3. Parameter 89eb9b10, 4. Parameter 1b050013.
< End of report >
Geändert von chriss3 (21.01.2011 um 11:17 Uhr) |
|
21.01.2011, 10:47
| #4 |
| | online banking gesperrt wegen gozi hier sind noch die prozesse liste von CCleaner und der bootkit remover log Code:
ATTFilter Ja HKCU:Run SpybotSD TeaTimer d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Ja HKCU:Run ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Ja HKLM:Run JMB36X IDE Setup C:\WINDOWS\RaidTool\xInsIDE.exe
Ja HKLM:Run 36X Raid Configurer C:\WINDOWS\system32\xRaidSetup.exe boot
Ja HKLM:Run Launch LCDMon "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
Ja HKLM:Run RTHDCPL RTHDCPL.EXE
Ja HKLM:Run avgnt "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Ja HKLM:Run MSC "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
Ja HKLM:Run NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Nein HKLM:Run Launch LGDCore "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
Code:
ATTFilter Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...
ach so: ich hatte noch ms security essentials installiert (zusätzlich zu antivir) weil ich hoffte, der findet was... |
|
21.01.2011, 21:06
| #5 |
| | online banking gesperrt wegen gozi hmmm  |
|
22.01.2011, 13:50
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | online banking gesperrt wegen gozi Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________ --> online banking gesperrt wegen gozi |
|
22.01.2011, 19:04
| #7 |
| | online banking gesperrt wegen gozi Hi Arne, danke, dass Du Dich meinem Problem angenommen hast. Die weiteren Malwarebytes Logs poste ich rücklaufend bis zum 30.11.2010. Der am 3.1.2011 hatte einen Fund mit comsgfat.dll. Es gibt dann noch ältere, aber alle ohne Fund. Gruß Chriss Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5544
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18.01.2011 13:26:05
mbam-log-2011-01-18 (13-26-05).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|Z:\|)
Durchsuchte Objekte: 374751
Laufzeit: 54 Minute(n), 4 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5447
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.01.2011 18:35:30
mbam-log-2011-01-03 (18-35-30).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 371638
Laufzeit: 55 Minute(n), 52 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
c:\WINDOWS\system32\comsgfat.dll (Trojan.Agent) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\WINDOWS\system32\comsgfat.dll (Trojan.Agent) -> Delete on reboot.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Datenbank Version: 5354
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
19.12.2010 10:54:08
mbam-log-2010-12-19 (10-54-08).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 365575
Laufzeit: 53 Minute(n), 53 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Datenbank Version: 5214
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
30.11.2010 11:31:13
mbam-log-2010-11-30 (11-31-13).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 360476
Laufzeit: 52 Minute(n), 34 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
24.01.2011, 09:21
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking gesperrt wegen gozi Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.03 22:41:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - E:\autorun.inf -- [ NTFS ]
O36 - AppCertDlls: bootINST - (C:\WINDOWS\system32\comsgfat.dll) - File not found
@Alternate Data Stream - 146 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
24.01.2011, 09:45
| #9 |
| | online banking gesperrt wegen gozi Rechner wurde neu gestartet. Hier das otl logfile. Code:
ATTFilter All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File not found.
File not found.
File not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Config.Msi
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: ***
->Temp folder emptied: 25764 bytes
->Temporary Internet Files folder emptied: 49152 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42906093 bytes
->Flash cache emptied: 9161 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 42816 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 60199 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 41,00 mb
OTL by OldTimer - Version 3.2.20.2 log created on 01242011_093248
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
|
|
24.01.2011, 09:53
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking gesperrt wegen goziZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.01.2011, 10:02
| #11 |
| | online banking gesperrt wegen gozi Ja, hatte es versucht, das Programm ist aber dabei abgestürzt... |
|
24.01.2011, 10:13
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking gesperrt wegen gozi Probier es so, cofi.exe neu runterladen!! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.01.2011, 10:52
| #13 |
| | online banking gesperrt wegen gozi So, hier der Combofix Log: [code] Combofix Logfile: Code:
ATTFilter ComboFix 11-01-23.06 - *** 24.01.2011 10:39:07.2.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3582.3047 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofifi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\***\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\***\Anwendungsdaten\EurekaLog\EurekaLog.ini
c:\windows\system\Color
c:\windows\system32\midas.dll
c:\windows\system32\ui
c:\windows\system32\ui\BANNER\LOADINGEVENT1.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT2.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT3.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT4.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT5.SOR
c:\windows\system32\ui\BANNER\LOADINGIMGOPT.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER1.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER2.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER3.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER4.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER5.SOR
.
((((((((((((((((((((((( Dateien erstellt von 2010-12-24 bis 2011-01-24 ))))))))))))))))))))))))))))))
.
2011-01-24 08:45 . 2011-01-24 08:45 28752 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys
2011-01-24 08:45 . 2010-11-09 19:33 6273872 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-01-24 08:45 . 2011-01-13 09:41 5890896 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\mpengine.dll
2011-01-24 08:32 . 2011-01-24 08:32 -------- d-----w- C:\_OTL
2011-01-19 14:22 . 2011-01-19 14:22 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-01-19 12:56 . 2011-01-19 17:06 -------- d--h--w- c:\windows\system32\GroupPolicy
2011-01-19 07:31 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-01-19 07:31 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-01-18 20:02 . 2006-11-01 12:06 162616 ----a-w- C:\RegDelNull.exe
2011-01-18 17:06 . 2011-01-18 17:06 16856 ----a-w- c:\programme\Mozilla Firefox\plugin-container.exe
2011-01-18 17:06 . 2011-01-18 17:06 719832 ----a-w- c:\programme\Mozilla Firefox\mozcpp19.dll
2011-01-18 14:07 . 2010-10-19 20:51 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-18 14:04 . 2011-01-18 14:04 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-01-18 14:04 . 2011-01-19 17:06 -------- d-----w- c:\programme\Microsoft Security Client
2011-01-05 11:15 . 2011-01-05 11:15 -------- d-----w- c:\windows\system32\wbem\Repository
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-22 07:57 . 2009-08-26 08:22 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-03-22 12:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-03-22 12:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-24 07:15 . 2009-08-26 08:22 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2008-04-03 21:39 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-09 14:51 . 2004-08-04 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore]
2007-12-13 15:57 2095640 ----a-w- c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\tswebeditor\\tswebeditor.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Programme\\Foxit Software\\PDF Editor\\PDFEdit.exe"=
"d:\\Programme\\EA Games\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"d:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.04.2008 11:23 717296]
R1 MpKsl16ef787e;MpKsl16ef787e;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys [24.01.2011 09:45 28752]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.08.2009 09:22 135336]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [25.12.2009 12:35 36608]
S3 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [25.12.2009 12:35 233472]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\66.tmp --> c:\windows\system32\66.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Inhalt des "geplante Tasks" Ordners
2011-01-24 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ttt.de/forum/index.php?page=Index
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-24 10:41
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\66.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:0b,5d,a1,63,9b,b5,1a,50,8d,49,7d,bc,33,23,aa,97,30,60,90,61,aa,3e,e3,
dc,d8,a0,33,50,24,bb,8c,77,b2,3f,a1,c1,91,8c,55,9d,59,76,1a,2e,11,14,f5,40,\
"??"=hex:21,d1,f4,23,40,9e,54,eb,6e,bf,2c,f9,c3,83,da,43
[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:23,0e,f2,eb,85,bb,10,ac,95,72,40,14,36,da,5c,28,dc,a7,d8,2b,88,
af,b5,8a,0a,19,58,fa,c5,14,ad,e9,66,40,d9,6a,0c,43,9b,a5,4d,81,a8,e0,ee,c9,\
"rkeysecu"=hex:56,1b,63,f5,6c,2f,5e,9d,eb,8f,e6,4a,54,48,26,8d
.
Zeit der Fertigstellung: 2011-01-24 10:42:58
ComboFix-quarantined-files.txt 2011-01-24 09:42
Vor Suchlauf: 12 Verzeichnis(se), 67.063.992.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 67.017.211.904 Bytes frei
- - End Of File - - 82F5B6D39E0E5CDD3CFFBEEFEF9553CA
|
|
24.01.2011, 11:33
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | online banking gesperrt wegen gozi Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.01.2011, 14:16
| #15 |
| | online banking gesperrt wegen gozi Hi Arne, vor allem GMER hat ewig gedauert... hier nun aber die erbetenen Logs: gmer [code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-24 13:57:06
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD321KJ rev.CP100-12
Running: g9zprwvy.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\ugroipog.sys
---- System - GMER 1.0.15 ----
SSDT B87A13FE ZwCreateKey
SSDT B87A13F4 ZwCreateThread
SSDT B87A1403 ZwDeleteKey
SSDT B87A140D ZwDeleteValueKey
SSDT spur.sys ZwEnumerateKey [0xB7EC6CA2]
SSDT spur.sys ZwEnumerateValueKey [0xB7EC7030]
SSDT B87A1412 ZwLoadKey
SSDT spur.sys ZwOpenKey [0xB7EA80C0]
SSDT B87A13E0 ZwOpenProcess
SSDT B87A13E5 ZwOpenThread
SSDT spur.sys ZwQueryKey [0xB7EC7108]
SSDT spur.sys ZwQueryValueKey [0xB7EC6F88]
SSDT B87A141C ZwReplaceKey
SSDT B87A1417 ZwRestoreKey
SSDT B87A1408 ZwSetValueKey
INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) B41DA16D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) B41D9FC2
INT 0x62 ? 8B13BBF8
INT 0x63 ? 8ABC3BF8
INT 0x63 ? 8ABC3BF8
INT 0x63 ? 8ABC3BF8
INT 0x73 ? 8B13BBF8
INT 0x73 ? 8B13BBF8
INT 0x73 ? 8B0E0BF8
INT 0x73 ? 8ABC3BF8
INT 0x73 ? 8B13BBF8
INT 0x82 ? 8B13BBF8
INT 0x94 ? 8ABC3BF8
INT 0xB4 ? 8ABC3BF8
Code \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\catchme.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.15 ----
? spur.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB72A2380, 0x566445, 0xE8000020]
.text USBPORT.SYS!DllUnload B72828AC 5 Bytes JMP 8ABC31D8
.text a4ghtcuf.SYS B7159384 1 Byte [20]
.text a4ghtcuf.SYS B7159384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...]
.text a4ghtcuf.SYS B71593AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text a4ghtcuf.SYS B71593C4 3 Bytes [00, 00, 00]
.text a4ghtcuf.SYS B71593C9 1 Byte [00]
.text ...
? C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB3D3A300, 0x3B6D8, 0xE8000020]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xB3C90400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB3D34620] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB3D34620]
.protectÿÿÿÿhardlockunknown last code section [0xB3D34400, 0x5126, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xB3D34400, 0x5126, 0xE0000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB8408300, 0x1BEE, 0xE8000020]
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\***~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA9040] spur.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA913C] spur.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA90BE] spur.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA97FC] spur.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA96D2] spur.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EB9048] spur.sys
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfAcquireSpinLock] 000000AD
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!READ_PORT_UCHAR] 000000D4
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KeGetCurrentIrql] 000000A2
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfRaiseIrql] 000000AF
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfLowerIrql] 0000009C
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!HalGetInterruptVector] 000000A4
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!HalTranslateBusAddress] 00000072
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KeStallExecutionProcessor] 000000C0
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfReleaseSpinLock] 000000B7
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 000000FD
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!READ_PORT_USHORT] 00000093
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000026
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!WRITE_PORT_UCHAR] 00000036
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[WMILIB.SYS!WmiSystemControl] 000000F7
IAT \SystemRoot\System32\Drivers\a4ghtcuf.SYS[WMILIB.SYS!WmiCompleteRequest] 000000CC
---- Devices - GMER 1.0.15 ----
Device 8B0DC1F8
Device Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device 8AE3D1F8
Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)
Device \Driver\PCI_PNP5510 \Device\00000050 spur.sys
Device \Driver\usbuhci \Device\USBPDO-0 8ABB41F8
Device \Driver\usbuhci \Device\USBPDO-1 8ABB41F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8B0DE1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8B0DE1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8B0DE1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8B0DE1F8
Device \Driver\usbuhci \Device\USBPDO-2 8ABB41F8
Device \Driver\usbehci \Device\USBPDO-3 8AB921F8
Device \Driver\usbuhci \Device\USBPDO-4 8ABB41F8
Device \Driver\sptd \Device\1458441760 spur.sys
Device \Driver\usbuhci \Device\USBPDO-5 8ABB41F8
Device \Driver\usbuhci \Device\USBPDO-6 8ABB41F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8B13C1F8
Device \Driver\usbehci \Device\USBPDO-7 8AB921F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8B13C1F8
Device \Driver\Cdrom \Device\CdRom0 8AC17500
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1b [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-13 [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Ftdisk \Device\HarddiskVolume3 8B13C1F8
Device \Driver\Cdrom \Device\CdRom1 8AC17500
Device \Driver\NetBT \Device\NetBt_Wins_Export 8AC0B500
Device \Driver\NetBT \Device\NetbiosSmb 8AC0B500
Device \Driver\usbuhci \Device\USBFDO-0 8ABB41F8
Device \Driver\usbuhci \Device\USBFDO-1 8ABB41F8
Device \Driver\usbuhci \Device\USBFDO-2 8ABB41F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8ABFC500
Device 8ABFC500
Device \Driver\usbehci \Device\USBFDO-3 8AB921F8
Device \Driver\usbuhci \Device\USBFDO-4 8ABB41F8
Device \Driver\Ftdisk \Device\FtControl 8B13C1F8
Device \Driver\usbuhci \Device\USBFDO-5 8ABB41F8
Device \Driver\usbuhci \Device\USBFDO-6 8ABB41F8
Device \Driver\usbehci \Device\USBFDO-7 8AB921F8
Device \Driver\a4ghtcuf \Device\Scsi\a4ghtcuf1 8AC15500
Device \Driver\a4ghtcuf \Device\Scsi\a4ghtcuf1Port5Path0Target0Lun0 8AC15500
Device \Driver\JRAID \Device\Scsi\JRAID1 8B0DD1F8
Device \FileSystem\Cdfs \Cdfs 8AD6E1F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8C 0x8C 0x78 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x47 0x30 0x52 0x77 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0xBB 0x17 0x14 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8C 0x8C 0x78 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x47 0x30 0x52 0x77 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB7 0x48 0x04 0xE9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 d:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8C 0x8C 0x78 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x47 0x30 0x52 0x77 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0xBB 0x17 0x14 ...
---- EOF - GMER 1.0.15 ----
osam OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 14:04:43 on 24.01.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "MP Scheduled Scan.job" - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "lgLcdCpl" - "Logitech Inc." - C:\Programme\Logitech\GamePanel Software\LCD Manager\LgLcdCpl.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "a4ghtcuf" (a4ghtcuf) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\a4ghtcuf.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys "atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\**~1\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "EagleNT" (EagleNT) - ? - C:\DOKUME~1\**~1\LOKALE~1\Temp\EagleNT.sys (File not found) "ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys "ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys "FsUsbExDisk" (FsUsbExDisk) - ? - C:\WINDOWS\system32\FsUsbExDisk.SYS (File found, but it contains no detailed information) "gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys "giveio" (giveio) - ? - C:\WINDOWS\system32\giveio.sys (File found, but it contains no detailed information) "grmnusb" (grmnusb) - "GARMIN Corp." - C:\WINDOWS\System32\drivers\grmnusb.sys "Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys "Haspnt" (Haspnt) - "Aladdin Knowledge Systems" - C:\WINDOWS\system32\drivers\Haspnt.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information) "mbr" (mbr) - ? - C:\cofifi\mbr.sys (Hidden registry entry, rootkit activity | File not found) "MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\66.tmp (File not found) "MpKsl16ef787e" (MpKsl16ef787e) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys (File not found) "MpKslee22f22c" (MpKslee22f22c) - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1A7AF54D-EDBF-4351-B406-BB4DF7D2CDDF}\MpKslee22f22c.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PnkBstrK" (PnkBstrK) - ? - C:\WINDOWS\system32\drivers\PnkBstrK.sys (File found, but it contains no detailed information) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "ugroipog" (ugroipog) - ? - C:\DOKUME~1\**~1\LOKALE~1\Temp\ugroipog.sys (Hidden registry entry, rootkit activity | File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - d:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll {A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll {09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\shellext.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - D:\PROGRA~1\SPYBOT~1\SDHelper.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - D:\PROGRA~1\SPYBOT~1\SDHelper.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "SpybotSD TeaTimer" - "Safer-Networking Ltd." - d:\Programme\Spybot - Search & Destroy\TeaTimer.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "36X Raid Configurer" - "Gigabyte Technology Corp." - C:\WINDOWS\system32\xRaidSetup.exe boot "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "JMB36X IDE Setup" - ? - C:\WINDOWS\RaidTool\xInsIDE.exe (File found, but it contains no detailed information) "Launch LCDMon" - "Logitech Inc." - "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" "MSC" - "Microsoft Corporation" - "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey "NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "FsUsbExService" (FsUsbExService) - "Teruten" - C:\WINDOWS\system32\FsUsbExService.Exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe "nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\WINDOWS\system32\GameMon.des "NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe "PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe (File found, but it contains no detailed information) "PnkBstrB" (PnkBstrB) - ? - C:\WINDOWS\system32\PnkBstrB.exe (File found, but it contains no detailed information) "ProtexisLicensing" (ProtexisLicensing) - ? - C:\WINDOWS\system32\PSIService.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== --- --- --- If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200005c
Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EA7000 spur.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E8F000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E60000 ACPI.sys
0xB7E4F000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E30000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7E0A000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DF2000 atapi.sys
0xB80D8000 jraid.sys
0xB80E8000 disk.sys
0xB80F8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7DD2000 fltmgr.sys
0xB7DC0000 sr.sys
0xB8108000 PxHelp20.sys
0xB7DA9000 KSecDD.sys
0xB7D1C000 Ntfs.sys
0xB7CEF000 NDIS.sys
0xB8118000 ohci1394.sys
0xB8128000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB7CD5000 Mup.sys
0xB81E8000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB82D8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB72A2000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB728E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB84A0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB726A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB84A8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB7242000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB82E8000 \SystemRoot\system32\DRIVERS\serial.sys
0xB7CB1000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB71FA000 \SystemRoot\system32\DRIVERS\parport.sys
0xB82F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB84B0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB8308000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB71E1000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xB8318000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB8158000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB71BE000 \SystemRoot\system32\DRIVERS\ks.sys
0xB7159000 \SystemRoot\System32\Drivers\a4ghtcuf.SYS
0xB872D000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8178000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB7C71000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB7142000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB8188000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB8198000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB83C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB7091000 \SystemRoot\system32\DRIVERS\psched.sys
0xB81A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB83D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB83D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB7061000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB81B8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB83E0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85FA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB6FDB000 \SystemRoot\system32\DRIVERS\update.sys
0xB856C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB81C8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB81D8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB8604000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB4A14000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB49F0000 \SystemRoot\system32\drivers\portcls.sys
0xB81F8000 \SystemRoot\system32\drivers\drmk.sys
0xB4979000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0xB8644000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB8788000 \SystemRoot\System32\Drivers\Null.SYS
0xB8646000 \SystemRoot\System32\Drivers\Beep.SYS
0xB8438000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB8440000 \SystemRoot\System32\drivers\vga.sys
0xB8648000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB864A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB8448000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB8450000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB6FBF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB4946000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB48ED000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB48C5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB489F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB8228000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB487D000 \SystemRoot\System32\drivers\afd.sys
0xB8238000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB8458000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB8248000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB482A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB47BA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB8468000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys
0xB8258000 \SystemRoot\System32\Drivers\Fips.SYS
0xB8470000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xB46F4000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB864E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB8490000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB7C85000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB8288000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB7C75000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB8298000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB46B4000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB8652000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB49B8000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8358000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB874B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB4387000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB40DA000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB3FFD000 \SystemRoot\system32\drivers\wdmaud.sys
0xB41A7000 \SystemRoot\system32\drivers\sysaudio.sys
0xB41D7000 \??\C:\WINDOWS\system32\drivers\Haspnt.sys
0xB864C000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3D3A000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xB3C90000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
0xB3C6C000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB8408000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xB3A54000 \SystemRoot\system32\DRIVERS\srv.sys
0xB2F59000 \SystemRoot\System32\Drivers\HTTP.sys
0xB8610000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xB8420000 \??\C:\DOKUME~1\**~1\LOKALE~1\Temp\catchme.sys
0xB1422000 \??\C:\DOKUME~1\**~1\LOKALE~1\Temp\ugroipog.sys
0xB13F7000 \SystemRoot\system32\drivers\kmixer.sys
0xB8428000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4934B2D7-7D4D-49CB-ABE0-4096F35EAC62}\MpKsl52ed64f4.sys
0xB13C3000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 35):
0 System Idle Process
4 System
756 C:\WINDOWS\system32\smss.exe
820 csrss.exe
848 C:\WINDOWS\system32\winlogon.exe
892 C:\WINDOWS\system32\services.exe
904 C:\WINDOWS\system32\lsass.exe
1116 C:\WINDOWS\system32\nvsvc32.exe
1160 C:\WINDOWS\system32\svchost.exe
1228 svchost.exe
1360 C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
1396 C:\WINDOWS\system32\svchost.exe
1484 svchost.exe
1600 svchost.exe
1648 C:\WINDOWS\system32\spoolsv.exe
1724 C:\Programme\Avira\AntiVir Desktop\sched.exe
1808 svchost.exe
532 C:\Programme\Avira\AntiVir Desktop\avguard.exe
612 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
660 C:\WINDOWS\system32\PnkBstrA.exe
672 C:\WINDOWS\system32\PnkBstrB.exe
708 C:\WINDOWS\system32\PSIService.exe
828 C:\WINDOWS\system32\svchost.exe
2256 alg.exe
2420 C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
2436 C:\WINDOWS\RTHDCPL.exe
2448 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2456 C:\Programme\Microsoft Security Client\msseces.exe
2484 C:\WINDOWS\system32\ctfmon.exe
2604 C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
3776 C:\WINDOWS\explorer.exe
2284 C:\WINDOWS\system32\wuauclt.exe
3116 C:\Programme\Mozilla Firefox\firefox.exe
3304 wmiprvse.exe
3732 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`69e61600 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: SAMSUNGHD321KJ, Rev: CP100-12
PhysicalDrive1 Model Number: SAMSUNGHD321KJ, Rev: CP100-12
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
298 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Done!
...kann erst heute abend wieder hier vorbeischauen. |
|
| Themen zu online banking gesperrt wegen gozi |
| antivir, antvir, banker, beste, besten, entfernen, formatierung, gesperrt, gozi trojaner, inprocserver32, installiert, internet, malwarebytes, meldet, online, online banking, recovery, remover, revealer, rootkit, schnell, trojaner, updates, videospin, weihnachten, windows, windows updates, windows xp |
Linear-Darstellung
