Trojaner SpyEye und Crypt.XPACK.Gen

yoda85 · 27.01.2011, 21:35

Hallo Trojaner-Board-Team,

ich habe mir heute mittag einen Trojaner eingefangen und bin erst darauf aufmerksam geworden, als mein Ebay Konto und Sparkassen Zugang gesperrt wurden.

Ich habe dann zunächst einen Scan mit Antivir durchgeführt und die gefundenen Dateien isoliert, das Protokoll findet ihr hier:

Protokoll Antivir

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 27. Januar 2011 16:29

Es wird nach 2429332 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : IBM-FA6B4EDFB35

Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 30.11.2010 17:12:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.11.2010 17:13:00
LUKE.DLL : 10.0.3.2 104296 Bytes 30.11.2010 17:12:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 08:55:39
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 08:55:39
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 08:55:39
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 08:55:39
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 08:55:39
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 08:55:39
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 08:55:39
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 08:55:39
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 08:55:39
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 08:55:39
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 08:55:39
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 08:55:40
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 08:45:13
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 09:07:57
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 09:43:33
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 09:43:34
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 10:36:22
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 10:36:23
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 10:36:25
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 09:40:30
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 08:53:42
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 08:53:44
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:02:33
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 14:21:32
VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 14:21:41
VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 15:13:19
VBASE027.VDF : 7.11.1.231 2048 Bytes 24.01.2011 15:13:20
VBASE028.VDF : 7.11.1.232 2048 Bytes 24.01.2011 15:13:20
VBASE029.VDF : 7.11.1.233 2048 Bytes 24.01.2011 15:13:20
VBASE030.VDF : 7.11.1.234 2048 Bytes 24.01.2011 15:13:20
VBASE031.VDF : 7.11.2.7 142848 Bytes 27.01.2011 15:13:21
Engineversion : 8.2.4.150
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.11.2010 17:12:35
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 07.01.2011 09:40:52
AESCN.DLL : 8.1.7.2 127349 Bytes 30.11.2010 17:12:34
AESBX.DLL : 8.1.3.2 254324 Bytes 30.11.2010 17:12:34
AERDL.DLL : 8.1.9.2 635252 Bytes 30.11.2010 17:12:34
AEPACK.DLL : 8.2.4.8 512374 Bytes 20.01.2011 14:22:27
AEOFFICE.DLL : 8.1.1.15 205178 Bytes 20.01.2011 14:22:21
AEHEUR.DLL : 8.1.2.68 3178870 Bytes 20.01.2011 14:22:20
AEHELP.DLL : 8.1.16.0 246136 Bytes 16.12.2010 08:55:47
AEGEN.DLL : 8.1.5.2 397683 Bytes 20.01.2011 14:21:55
AEEMU.DLL : 8.1.3.0 393589 Bytes 30.11.2010 17:12:29
AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 14:21:47
AEBB.DLL : 8.1.1.0 53618 Bytes 30.11.2010 17:12:29
AVWINLL.DLL : 10.0.0.0 19304 Bytes 30.11.2010 17:12:39
AVPREF.DLL : 10.0.0.0 44904 Bytes 30.11.2010 17:12:38
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 30.11.2010 17:12:38
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 30.11.2010 17:12:39
AVARKT.DLL : 10.0.22.6 231784 Bytes 30.11.2010 17:12:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 30.11.2010 17:12:37
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 30.11.2010 17:12:39
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 30.11.2010 17:13:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 27. Januar 2011 16:29

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'cidaemon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmprc.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4serv.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wtgservice.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSVC.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpcsb.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '473' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP286\A0057751.exe
[FUND] Ist das Trojanische Pferd TR/Spyeye.H.157
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP287\A0057848.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP288\A0058009.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP290\A0058169.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP291\A0058227.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.22.20
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP295\A0058739.exe
[FUND] Ist das Trojanische Pferd TR/Spyeye.H.169
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP295\A0058758.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Spy.SpyEyes.eat

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP295\A0058758.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Spy.SpyEyes.eat
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e9179d.qua' verschoben!
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP295\A0058739.exe
[FUND] Ist das Trojanische Pferd TR/Spyeye.H.169
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f7e383a.qua' verschoben!
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP291\A0058227.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.22.20
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d2162d2.qua' verschoben!
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP290\A0058169.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b162d10.qua' verschoben!
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP288\A0058009.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e92002f.qua' verschoben!
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP287\A0057848.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5189324e.qua' verschoben!
C:\System Volume Information\_restore{838C6850-BD16-450E-88FA-17B7CBAA74FB}\RP286\A0057751.exe
[FUND] Ist das Trojanische Pferd TR/Spyeye.H.157
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d311e04.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 27. Januar 2011 19:00
Benötigte Zeit: 2:26:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5882 Verzeichnisse wurden überprüft
319884 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
319877 Dateien ohne Befall
9219 Archive wurden durchsucht
0 Warnungen
7 Hinweise
349601 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Als nächstes habe ich Spybot - Search & Destroy installiert, der hat aber nichts gefunden.

Danach habe ich Schritt für Schritt die Anleitung von Load durchgemacht.

Die Protokolle findet ihr im Anschluss:

Log von MBAM

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5622

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.01.2011 19:39:09
mbam-log-2011-01-27 (19-39-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137309
Laufzeit: 6 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
c:\portwexexe.exe (Trojan.SpyEyes.WC) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\config\systemprofile\anwendungsdaten\apiqfw.dat (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\Jochen\anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.
c:\portwexexe.exe\config.bin (Trojan.SpyEyes.WC) -> No action taken.

defogger_disable.log

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:45 on 27/01/2011 (Jochen)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Gmer.txt

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-27 20:56:11
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK4026GAX_RoHS rev.PA107E
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\Jochen\LOKALE~1\Temp\ufwiraob.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwConnectPort [0xEF458534]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xEF452782]
SSDT F8C6BBE6 ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreatePort [0xEF458CC0]
SSDT F8C6BBDC ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xEF458DF6]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xEF453398]
SSDT F8C6BBEB ZwDeleteKey
SSDT F8C6BBF5 ZwDeleteValueKey
SSDT F8C6BBFA ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xEF473B44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xEF452FAA]
SSDT F8C6BBC8 ZwOpenProcess
SSDT F8C6BBCD ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xEF4748D2]
SSDT F8C6BC04 ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xEF4580F4]
SSDT F8C6BBFF ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xEF45375C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xEF474E12]
SSDT F8C6BBF0 ZwSetValueKey
 
---- User code sections - GMER 1.0.15 ----
 
.text C:\Programme\Mozilla Firefox\firefox.exe[2976] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
 
---- Devices - GMER 1.0.15 ----
 
Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
 
---- EOF - GMER 1.0.15 ----

--- --- ---

OTL.txt

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 27.01.2011 20:58:18 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\Jochen\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,00 Mb Total Physical Memory | 277,00 Mb Available Physical Memory | 55,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 32,83 Gb Total Space | 5,12 Gb Free Space | 15,60% Space Free | Partition Type: NTFS
 
Computer Name: IBM-FA6B4EDFB35 | User Name: Jochen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.01.27 19:09:09 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jochen\Desktop\MFTools\OTL.exe
PRC - [2010.12.14 09:02:59 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.11.30 18:12:47 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.30 18:12:38 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.30 18:12:37 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.05.05 05:59:09 | 000,329,168 | ---- | M] () -- C:\Programme\Verbindungsassistent\WTGService.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.04.13 17:20:22 | 000,097,432 | ---- | M] () -- C:\Programme\Canon\IJPLM\ijplmsvc.exe
PRC - [2006.09.19 09:07:28 | 000,827,392 | ---- | M] () -- C:\WINDOWS\vsnpstd3.exe
PRC - [2005.02.18 16:05:30 | 000,360,521 | ---- | M] (Intel Corporation ) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
PRC - [2005.02.18 16:03:38 | 000,086,016 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe
PRC - [2005.02.18 16:02:24 | 000,139,264 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
PRC - [2004.03.19 22:21:10 | 000,339,968 | ---- | M] () -- C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
PRC - [2004.03.19 21:12:10 | 000,090,112 | ---- | M] (IBM Corp.) -- C:\IBMTOOLS\utils\ibmprc.exe
PRC - [2004.02.26 10:26:00 | 000,057,344 | ---- | M] () -- C:\WINDOWS\system32\ibmpmsvc.exe
PRC - [2003.11.13 12:12:00 | 000,094,208 | ---- | M] (IBM Corporation) -- C:\WINDOWS\system32\tp4serv.exe
PRC - [2003.07.12 03:19:22 | 000,032,768 | ---- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.01.27 19:09:09 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jochen\Desktop\MFTools\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- -- (PsaSrv)
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2010.11.30 18:12:47 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.11.30 18:12:38 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.06.23 12:52:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.05.05 05:59:09 | 000,329,168 | ---- | M] () [Auto | Running] -- C:\Programme\Verbindungsassistent\WTGService.exe -- (WTGService)
SRV - [2010.03.29 07:53:22 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2008.04.14 07:52:24 | 000,105,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\p2pgasvc.dll -- (p2pgasvc)
SRV - [2008.04.14 07:52:14 | 000,036,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\iprip.dll -- (Iprip)
SRV - [2007.04.13 17:20:22 | 000,097,432 | ---- | M] () [Auto | Running] -- C:\Programme\Canon\IJPLM\ijplmsvc.exe -- (IJPLMSVC)
SRV - [2006.10.26 19:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.02.18 16:05:30 | 000,360,521 | ---- | M] (Intel Corporation ) [Auto | Running] -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- (S24EventMonitor)
SRV - [2005.02.18 16:03:38 | 000,086,016 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe -- (EvtEng)
SRV - [2005.02.18 16:02:24 | 000,139,264 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe -- (RegSrvc)
SRV - [2004.03.19 22:21:10 | 000,339,968 | ---- | M] () [Auto | Running] -- C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe -- (IBM Rapid Restore Ultra Service)
SRV - [2004.02.26 10:26:00 | 000,057,344 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\ibmpmsvc.exe -- (IBMPMSVC)
SRV - [2003.07.12 03:19:22 | 000,032,768 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.12.21 10:08:00 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.30 18:13:03 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 14:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 14:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010.05.13 09:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2010.02.11 13:02:15 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2010.01.10 02:24:50 | 000,013,312 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2008.07.24 10:03:56 | 000,101,760 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008.04.14 00:24:38 | 000,028,672 | ---- | M] (National Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nscirda.sys -- (NSCIRDA)
DRV - [2008.04.14 00:15:14 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.14 00:06:40 | 000,043,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\amdagp.sys -- (amdagp)
DRV - [2008.04.14 00:06:40 | 000,040,960 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\sisagp.sys -- (sisagp)
DRV - [2007.03.27 18:19:36 | 010,252,544 | ---- | M] (Sonix Co. Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\snpstd3.sys -- (SNPSTD3) USB PC Camera (SNPSTD3)
DRV - [2005.02.14 17:00:10 | 003,255,168 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2004.10.15 19:20:04 | 000,011,354 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2004.09.24 02:39:58 | 000,064,256 | ---- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (ibmfilter)
DRV - [2004.09.07 01:03:46 | 000,016,370 | ---- | M] (IBM Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\TPHKDRV.sys -- (TPHKDRV)
DRV - [2004.09.02 10:05:00 | 000,100,603 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsnudfa.sys -- (tfsnudfa)
DRV - [2004.09.02 10:05:00 | 000,098,714 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsnudf.sys -- (tfsnudf)
DRV - [2004.09.02 10:05:00 | 000,086,202 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsnifs.sys -- (tfsnifs)
DRV - [2004.09.02 10:05:00 | 000,034,843 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsncofs.sys -- (tfsncofs)
DRV - [2004.09.02 10:05:00 | 000,025,723 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsnboio.sys -- (tfsnboio)
DRV - [2004.09.02 10:05:00 | 000,014,715 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsnopio.sys -- (tfsnopio)
DRV - [2004.09.02 10:05:00 | 000,006,363 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsnpool.sys -- (tfsnpool)
DRV - [2004.09.02 10:05:00 | 000,004,123 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsndrct.sys -- (tfsndrct)
DRV - [2004.09.02 10:05:00 | 000,002,271 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\tfsndres.sys -- (tfsndres)
DRV - [2004.08.17 12:21:00 | 000,087,168 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\drvmcdb.sys -- (drvmcdb)
DRV - [2004.08.04 09:47:32 | 000,607,196 | ---- | M] (LT) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ltmdmnt.sys -- (ltmodem5)
DRV - [2004.07.29 10:37:00 | 000,016,384 | ---- | M] (IBM Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPPWR.SYS -- (TPPWR)
DRV - [2004.07.29 10:36:00 | 000,014,848 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint)
DRV - [2004.07.29 10:36:00 | 000,009,341 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI)
DRV - [2004.07.23 00:25:58 | 000,197,888 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH)
DRV - [2004.07.23 00:24:52 | 000,676,096 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2004.07.23 00:24:20 | 001,041,152 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP)
DRV - [2004.07.15 11:31:00 | 000,007,168 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP)
DRV - [2004.07.14 20:29:04 | 000,005,627 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\sscdbhk5.sys -- (sscdbhk5)
DRV - [2004.07.14 20:28:50 | 000,023,545 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\ssrtln.sys -- (ssrtln)
DRV - [2004.07.14 11:56:00 | 000,040,448 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\drvnddm.sys -- (drvnddm)
DRV - [2004.02.26 10:26:00 | 000,011,344 | ---- | M] (IBM Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ibmpmdrv.sys -- (IBMPMDRV)
DRV - [2003.11.13 12:12:00 | 000,013,904 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tp4track.sys -- (Tp4Track)
DRV - [2003.09.19 10:47:00 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc)
DRV - [2001.11.01 12:57:14 | 000,095,104 | ---- | M] (S3 Graphics, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3ssavm.sys -- (S3SSavage)
DRV - [2001.08.18 13:22:54 | 000,006,656 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\cmdide.sys -- (CmdIde)
DRV - [2001.08.17 23:07:44 | 000,019,072 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\sparrow.sys -- (Sparrow)
DRV - [2001.08.17 23:07:42 | 000,030,688 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\sym_u3.sys -- (sym_u3)
DRV - [2001.08.17 23:07:40 | 000,028,384 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\sym_hi.sys -- (sym_hi)
DRV - [2001.08.17 23:07:36 | 000,032,640 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\symc8xx.sys -- (symc8xx)
DRV - [2001.08.17 23:07:34 | 000,016,256 | ---- | M] (Symbios Logic Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\symc810.sys -- (symc810)
DRV - [2001.08.17 22:52:22 | 000,036,736 | ---- | M] (Promise Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\ultra.sys -- (ultra)
DRV - [2001.08.17 22:52:20 | 000,045,312 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\ql12160.sys -- (ql12160)
DRV - [2001.08.17 22:52:20 | 000,040,320 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\ql1080.sys -- (ql1080)
DRV - [2001.08.17 22:52:18 | 000,049,024 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\ql1280.sys -- (ql1280)
DRV - [2001.08.17 22:52:16 | 000,179,584 | ---- | M] (Mylex Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\dac2w2k.sys -- (dac2w2k)
DRV - [2001.08.17 22:52:12 | 000,017,280 | ---- | M] (American Megatrends Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\mraid35x.sys -- (mraid35x)
DRV - [2001.08.17 22:52:00 | 000,026,496 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\asc.sys -- (asc)
DRV - [2001.08.17 22:51:58 | 000,014,848 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\asc3550.sys -- (asc3550)
DRV - [2001.08.17 22:51:56 | 000,005,248 | ---- | M] (Acer Laboratories Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\aliide.sys -- (AliIde)
DRV - [2001.08.17 22:48:14 | 000,011,520 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TwoTrack.sys -- (TwoTrack)
DRV - [2001.08.17 11:20:04 | 000,096,256 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ac97intc.sys -- (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM)
DRV - [2000.06.01 05:29:54 | 000,007,012 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PMEMNT.SYS -- (PMEM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.63
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 3
FF - prefs.js..extensions.enabledItems: 1
FF - prefs.js..extensions.enabledItems: {c50ca3c4-5656-43c2-a061-13e717f73fc8}:3.2.3
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.01.24 20:45:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.14 09:03:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.01.10 18:45:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.01.12 01:15:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Extensions
[2010.01.10 18:45:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.01.27 20:00:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\m39wqyis.default\extensions
[2010.09.09 20:59:03 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\m39wqyis.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.08.06 21:53:09 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\m39wqyis.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.12.05 15:32:32 | 000,000,000 | ---D | M] (Fast Video Download (with SearchMenu)) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\m39wqyis.default\extensions\{c50ca3c4-5656-43c2-a061-13e717f73fc8}
[2010.07.26 19:07:22 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\m39wqyis.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.10.03 18:04:11 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\m39wqyis.default\extensions\firefox@tvunetworks.com
[2011.01.27 20:00:04 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.09.17 18:00:55 | 000,000,000 | ---D | M] ("Citavi Picker") -- C:\Programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}
[2010.07.26 19:05:42 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.26 19:05:42 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.26 19:05:42 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.26 19:05:42 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.26 19:05:42 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.18 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll (Sonic Solutions)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [IBMPRC] C:\IBMTOOLS\utils\ibmprc.exe (IBM Corp.)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe ()
O4 - HKLM..\Run: [TrackPointSrv] C:\WINDOWS\System32\tp4serv.exe (IBM Corporation)
O4 - HKLM..\Run: [UC_SMB] File not found
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [eyeBeam SIP Client] File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [XSC SIP Client] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\Jochen\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Citavi Picker... - C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O9 - Extra 'Tools' menuitem : IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/1.4.1/jinstall-141-win.cab (Java Plug-in 1.4.1)
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.1/jinstall-141-win.cab (Java Plug-in 1.4.1)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.10 02:38:47 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3dad9f70-56d3-11df-a228-000ae439d1d3}\Shell - "" = AutoRun
O33 - MountPoints2\{3dad9f70-56d3-11df-a228-000ae439d1d3}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3dad9f70-56d3-11df-a228-000ae439d1d3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{3dad9f73-56d3-11df-a228-000ae439d1d3}\Shell - "" = AutoRun
O33 - MountPoints2\{3dad9f73-56d3-11df-a228-000ae439d1d3}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3dad9f73-56d3-11df-a228-000ae439d1d3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{72ab6490-56d4-11df-a229-000ae439d1d3}\Shell - "" = AutoRun
O33 - MountPoints2\{72ab6490-56d4-11df-a229-000ae439d1d3}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{72ab6490-56d4-11df-a229-000ae439d1d3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{72ab6492-56d4-11df-a229-000ae439d1d3}\Shell - "" = AutoRun
O33 - MountPoints2\{72ab6492-56d4-11df-a229-000ae439d1d3}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{72ab6492-56d4-11df-a229-000ae439d1d3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{88bb9556-ff0a-11de-a168-0013ce7842a2}\Shell - "" = AutoRun
O33 - MountPoints2\{88bb9556-ff0a-11de-a168-0013ce7842a2}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{88bb9556-ff0a-11de-a168-0013ce7842a2}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true
O33 - MountPoints2\{88bb9564-ff0a-11de-a168-0013ce7842a2}\Shell\AutoRun\command - "" = WDSetup.exe
O33 - MountPoints2\{cc659d50-637b-11df-a251-000ae439d1d3}\Shell - "" = AutoRun
O33 - MountPoints2\{cc659d50-637b-11df-a251-000ae439d1d3}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{cc659d50-637b-11df-a251-000ae439d1d3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: AppMgmt - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe - (BVRP Software)
MsConfig - StartUpReg: BMMGAG - hkey= - key= - File not found
MsConfig - StartUpReg: BMMLREF - hkey= - key= - C:\Programme\ThinkPad\Utilities\BMMLREF.EXE ()
MsConfig - StartUpReg: BMMMONWND - hkey= - key= - File not found
MsConfig - StartUpReg: ccApp - hkey= - key= - File not found
MsConfig - StartUpReg: dla - hkey= - key= - File not found
MsConfig - StartUpReg: EZEJMNAP - hkey= - key= - C:\Programme\ThinkPad\Utilities\EzEjMnAp.Exe (IBM Corp.)
MsConfig - StartUpReg: HotKeysCmds - hkey= - key= - File not found
MsConfig - StartUpReg: ibmmessages - hkey= - key= - File not found
MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found
MsConfig - StartUpReg: NAV CfgWiz - hkey= - key= - File not found
MsConfig - StartUpReg: QCTRAY - hkey= - key= - File not found
MsConfig - StartUpReg: QCWLICON - hkey= - key= - File not found
MsConfig - StartUpReg: S3TRAY2 - hkey= - key= - File not found
MsConfig - StartUpReg: Skype - hkey= - key= - C:\Programme\Skype\Phone\Skype.exe (Skype Technologies S.A.)
MsConfig - StartUpReg: snpstd3 - hkey= - key= - C:\WINDOWS\vsnpstd3.exe ()
MsConfig - StartUpReg: TP4EX - hkey= - key= - File not found
MsConfig - StartUpReg: TPHOTKEY - hkey= - key= - C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe ()
MsConfig - StartUpReg: TPKMAPHELPER - hkey= - key= - C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (IBM Corp.)
MsConfig - StartUpReg: UC_Start - hkey= - key= - C:\Programme\IBM\Updater\\ucstartup.exe ()
MsConfig - StartUpReg: UpdateManager - hkey= - key= - C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe (Sonic Solutions)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 0
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.27 19:28:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.01.27 19:27:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.01.27 19:27:23 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.01.27 19:12:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Malwarebytes
[2011.01.27 19:12:00 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.01.27 19:12:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.01.27 19:11:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.01.27 19:11:53 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.01.27 19:11:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.27 19:08:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jochen\Desktop\MFTools
[2011.01.27 17:17:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2011.01.27 17:17:27 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.01.27 17:17:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2011.01.27 15:08:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jochen\Desktop\Porsche
[2011.01.20 16:06:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\PDF24
[2011.01.19 15:48:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Jochen\Recent
[2011.01.17 15:59:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\pdf24
[2010.02.13 23:04:20 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\pcouffin.sys
[2007.08.13 16:46:00 | 000,102,912 | ---- | C] (Albert L Faber) -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\CDRip.dll
[2007.03.12 11:41:52 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\vsnpstd3.dll
[2007.01.18 20:09:54 | 000,623,616 | ---- | C] (Ivan Bischof ©2003 - 2005) -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\No23 Recorder.exe
[2006.12.11 18:13:14 | 000,013,872 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\basscd.dll
[2006.12.11 18:13:12 | 000,097,336 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\bass.dll
[2005.11.23 12:55:32 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd3.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.27 19:47:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.27 19:47:52 | 526,897,152 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.27 19:45:22 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\defogger_reenable
[2011.01.27 19:27:39 | 000,000,758 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk
[2011.01.27 19:27:24 | 000,000,602 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\NTREGOPT.lnk
[2011.01.27 19:27:24 | 000,000,583 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\ERUNT.lnk
[2011.01.27 19:12:01 | 000,000,767 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.27 19:09:42 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\g2m3e4r.exe
[2011.01.27 19:09:38 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\defogger.exe
[2011.01.27 19:05:44 | 000,472,098 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\Load.exe
[2011.01.27 17:17:58 | 000,000,916 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\Spybot - Search & Destroy.lnk
[2011.01.27 12:18:18 | 000,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.17 14:59:44 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.13 15:55:44 | 000,074,943 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\profilmetalle.pdf
[2011.01.12 10:29:28 | 000,068,274 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\Notenspiegel neu.pdf
[2011.01.06 17:36:50 | 000,072,236 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\163769_143283149060343_100001359755715_207819_2187746_n.jpg
[2011.01.04 12:18:49 | 000,010,806 | ---- | M] () -- C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\GEZ-Abmeldung.docx
 
========== Files Created - No Company Name ==========
 
[2011.01.27 19:45:22 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\defogger_reenable
[2011.01.27 19:27:39 | 000,000,758 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk
[2011.01.27 19:27:24 | 000,000,602 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\NTREGOPT.lnk
[2011.01.27 19:27:24 | 000,000,583 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\ERUNT.lnk
[2011.01.27 19:12:01 | 000,000,767 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.27 19:09:39 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\g2m3e4r.exe
[2011.01.27 19:09:38 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\defogger.exe
[2011.01.27 19:06:16 | 000,472,098 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\Load.exe
[2011.01.27 17:17:58 | 000,000,916 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\Spybot - Search & Destroy.lnk
[2011.01.13 15:55:56 | 000,074,943 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\profilmetalle.pdf
[2011.01.12 10:29:28 | 000,068,274 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\Notenspiegel neu.pdf
[2011.01.06 17:36:46 | 000,072,236 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Desktop\163769_143283149060343_100001359755715_207819_2187746_n.jpg
[2011.01.04 12:05:39 | 000,010,806 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\GEZ-Abmeldung.docx
[2010.09.16 12:28:41 | 000,000,183 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2010.09.10 17:41:24 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2010.08.24 19:55:21 | 000,001,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2010.05.19 09:15:48 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2010.02.13 23:04:34 | 000,000,014 | ---- | C] () -- C:\WINDOWS\System32\systeminfo3.dll
[2010.02.13 23:04:28 | 000,000,033 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\pcouffin.log
[2010.02.13 23:04:20 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\inst.exe
[2010.02.13 23:04:20 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\pcouffin.cat
[2010.02.13 23:04:20 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\pcouffin.inf
[2010.01.13 01:50:35 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.01.13 01:47:10 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.01.12 01:21:35 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.10 02:31:22 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2010.01.10 02:29:27 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\JAWTAccessBridge.dll
[2010.01.10 02:28:51 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\PcdrKernelModeServices.dll
[2010.01.10 02:28:51 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\ProgressTrace.dll
[2010.01.10 02:20:07 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2010.01.10 02:20:07 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2010.01.10 02:20:07 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2010.01.10 02:20:07 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2010.01.10 02:20:07 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2010.01.10 02:20:07 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2010.01.10 02:19:35 | 000,000,138 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.01.10 02:13:45 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll
[2010.01.10 02:13:26 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSMAPIP.SYS
[2010.01.10 02:12:59 | 000,009,341 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2010.01.10 01:58:40 | 000,002,458 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2010.01.10 01:03:14 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll
[2007.08.13 16:46:00 | 000,155,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
[2006.10.26 00:06:48 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
[2006.10.26 00:06:48 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
[2006.10.26 00:06:46 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
[2006.10.26 00:06:36 | 000,015,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\ogg.dll
[2005.08.23 21:34:06 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
[2004.03.19 21:12:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\pwdmon.dll
[2004.03.19 21:12:10 | 000,019,692 | ---- | C] () -- C:\WINDOWS\ibmprc.ini
[2004.02.27 16:36:18 | 000,015,498 | ---- | C] () -- C:\WINDOWS\snpstd3.ini
[2004.01.09 15:10:32 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\AIBMRUNL.dll
[2003.02.24 23:43:09 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2003.02.24 23:21:21 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[1980.01.01 09:00:00 | 000,115,200 | ---- | C] () -- C:\WINDOWS\System32\tp4uires.dll
[1980.01.01 09:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\tpinspm.dll
[1980.01.01 09:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
 
========== LOP Check ==========
 
[2010.03.28 18:48:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
[2010.04.25 11:41:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.12.17 14:49:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
[2010.01.10 03:32:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ibm
[2010.09.17 18:17:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Academic Software Zurich
[2010.03.28 19:15:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Ashampoo
[2010.01.10 18:47:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\CheckPoint
[2010.03.28 18:46:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\DeepBurner
[2010.08.06 21:53:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.03.23 20:49:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\InterVideo
[2010.10.08 17:05:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Miranda
[2010.01.12 01:06:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Opera
[2010.01.10 18:45:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Thunderbird
[2010.05.06 06:07:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Verbindungsassistent
[2010.12.02 16:14:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Vso
[2010.01.10 02:30:28 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\BMMTask.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.01.10 02:38:47 | 000,000,000 | -H-- | M] () -- C:\AUTOEXEC.BAT
[2010.01.10 03:46:40 | 000,000,184 | RHS- | M] () -- C:\BOOT.INI
[2001.08.18 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2010.01.10 02:15:34 | 000,000,000 | -H-- | M] () -- C:\BOOTLOG.PRV
[2010.01.10 02:32:12 | 000,000,000 | -H-- | M] () -- C:\BOOTLOG.TXT
[2003.02.24 23:13:06 | 000,000,512 | -HS- | M] () -- C:\BOOTSECT.DOS
[2010.01.10 02:30:06 | 000,000,355 | ---- | M] () -- C:\ccrrec.ver
[2010.01.10 02:38:47 | 000,000,000 | -H-- | M] () -- C:\CONFIG.SYS
[2010.01.10 02:19:02 | 000,000,638 | ---- | M] () -- C:\drivez.log
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.1028.txt
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.1031.txt
[2007.11.07 07:00:40 | 000,010,134 | ---- | M] () -- C:\eula.1033.txt
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.1036.txt
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.1040.txt
[2007.11.07 07:00:40 | 000,000,118 | ---- | M] () -- C:\eula.1041.txt
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.1042.txt
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.2052.txt
[2007.11.07 07:00:40 | 000,017,734 | ---- | M] () -- C:\eula.3082.txt
[2007.11.07 07:00:40 | 000,001,110 | ---- | M] () -- C:\globdata.ini
[2011.01.27 19:47:52 | 526,897,152 | -HS- | M] () -- C:\hiberfil.sys
[2010.02.01 01:08:03 | 000,028,824 | ---- | M] () -- C:\img2-001.raw
[2007.11.07 07:03:18 | 000,562,688 | ---- | M] (Microsoft Corporation) -- C:\install.exe
[2007.11.07 07:00:40 | 000,000,843 | ---- | M] () -- C:\install.ini
[2007.11.07 07:03:18 | 000,076,304 | ---- | M] (Microsoft Corporation) -- C:\install.res.1028.dll
[2007.11.07 07:03:18 | 000,096,272 | ---- | M] (Microsoft Corporation) -- C:\install.res.1031.dll
[2007.11.07 07:03:18 | 000,091,152 | ---- | M] (Microsoft Corporation) -- C:\install.res.1033.dll
[2007.11.07 07:03:18 | 000,097,296 | ---- | M] (Microsoft Corporation) -- C:\install.res.1036.dll
[2007.11.07 07:03:18 | 000,095,248 | ---- | M] (Microsoft Corporation) -- C:\install.res.1040.dll
[2007.11.07 07:03:18 | 000,081,424 | ---- | M] (Microsoft Corporation) -- C:\install.res.1041.dll
[2007.11.07 07:03:18 | 000,079,888 | ---- | M] (Microsoft Corporation) -- C:\install.res.1042.dll
[2007.11.07 07:03:18 | 000,075,792 | ---- | M] (Microsoft Corporation) -- C:\install.res.2052.dll
[2007.11.07 07:03:18 | 000,096,272 | ---- | M] (Microsoft Corporation) -- C:\install.res.3082.dll
[2010.01.10 02:38:48 | 000,000,000 | -H-- | M] () -- C:\IO.SYS
[2010.01.12 23:24:44 | 000,001,060 | ---- | M] () -- C:\libSRTP_log.txt
[2010.01.10 02:17:22 | 000,000,160 | ---- | M] () -- C:\LOGFILE.txt
[2010.01.11 23:23:44 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.01.10 02:03:08 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.01.10 05:59:59 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.01.27 19:47:50 | 792,723,456 | -HS- | M] () -- C:\pagefile.sys
[2010.01.10 01:58:42 | 000,001,506 | ---- | M] () -- C:\SYSLEVEL.IBM
[2010.01.10 01:57:38 | 000,000,044 | ---- | M] () -- C:\TCPACHIP.LOG
[2007.11.07 07:00:40 | 000,005,686 | ---- | M] () -- C:\vcredist.bmp
[2007.11.07 07:09:22 | 001,442,522 | ---- | M] () -- C:\VC_RED.cab
[2007.11.07 07:12:28 | 000,232,960 | ---- | M] () -- C:\VC_RED.MSI
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 14:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 13:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 14:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 13:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2003.02.24 23:31:22 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2007.04.30 19:00:00 | 000,027,136 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\CNMPD92.DLL
[2007.04.30 19:00:00 | 000,069,632 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\CNMPP92.DLL
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2006.10.26 19:58:12 | 000,030,512 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2003.02.24 23:20:00 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2003.02.24 23:20:00 | 000,606,208 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2003.02.24 23:20:00 | 000,401,408 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 07:52:34 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 07:52:34 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE >
[2004.08.04 09:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: WINLOGON.EXE >
[2004.08.04 09:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-01-13 09:03:13
 
< End of report >

--- --- ---

und zuletzt

Extras.txt

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 27.01.2011 20:58:18 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\Jochen\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,00 Mb Total Physical Memory | 277,00 Mb Available Physical Memory | 55,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 32,83 Gb Total Space | 5,12 Gb Free Space | 15,60% Space Free | Partition Type: NTFS
 
Computer Name: IBM-FA6B4EDFB35 | User Name: Jochen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe"
https [open] -- "C:\Programme\Opera\opera.exe"
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "C:\Programme\MediaMonkey\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3587:TCP" = 3587:TCP:*:Enabled:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP" = 3540:UDP:*:Enabled:Peer Name Resolution-Protokoll (PNRP)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"3587:TCP" = 3587:TCP:*:Enabled:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP" = 3540:UDP:*:Enabled:Peer Name Resolution-Protokoll (PNRP)
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%ProgramFiles%\IBM\Updater\jre\bin\javaw.exe" = %ProgramFiles%\IBM\Updater\jre\bin\javaw.exe:*:enabled:Java launcher -- (IBM)
"%ProgramFiles%\IBM\Updater\jre\bin\java.exe" = %ProgramFiles%\IBM\Updater\jre\bin\java.exe:*:enabled:Java launcher -- (IBM)
"C:\Programme\IBM\Updater\jre\bin\java.exe" = C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:Java launcher -- (IBM)
"C:\Programme\IBM\Updater\jre\bin\javaw.exe" = C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:Java launcher -- (IBM)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%ProgramFiles%\IBM\Updater\jre\bin\javaw.exe" = %ProgramFiles%\IBM\Updater\jre\bin\javaw.exe:*:enabled:Java launcher -- (IBM)
"%ProgramFiles%\IBM\Updater\jre\bin\java.exe" = %ProgramFiles%\IBM\Updater\jre\bin\java.exe:*:enabled:Java launcher -- (IBM)
"C:\Programme\IBM\Updater\jre\bin\java.exe" = C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:Java launcher -- (IBM)
"C:\Programme\IBM\Updater\jre\bin\javaw.exe" = C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:Java launcher -- (IBM)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{09DA4F91-2A09-4232-AB8C-6BC740096DE3}" = Sonic Update Manager
"{1007F41F-7D69-468E-8017-3849A5A973C2}" = IBM ThinkVantage Technologies Welcome Message
"{11783F13-C3A9-44A8-929B-21A476F65272}" = IBM Rescue and Recovery with Rapid Restore
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series" = Canon iP4500 series
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = IBM DLA
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F7CCFA3-D926-4882-B2A5-A0217ED25597}" = PC-Doctor für Windows
"{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'IBM ThinkPad-Tastaturanpassung'
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{22E95014-3038-4909-8708-48AE7FEFBF05}" = DSL Connection Manager
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{2FCE4FC5-6930-40E7-A4F1-F862207424EF}" = InterVideo WinDVD Creator
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{63E949F6-03BC-5C40-FF1F-C8B3B9A1E18E}" = Visual C++ 8.0 CRT.Policy (x86) WinSXS MSM
"{6C72E14A-C1F3-45E5-8810-83CE3C19ED63}" = IBM 32-bit Runtime Environment for Java 2, v1.4.1
"{6CE96A14-61E2-48CC-837E-22710A953ADE}" = IBM Themes
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 2.9.0
"{8745DEAB-1126-42F5-9585-C66D5497B47B}" = EMEA Wallpaper
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8D815BF3-2399-459C-B121-49373FEFB9E8}" = IBM Update Connector
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0012-0000-0000-0000000FF1CE}" = Microsoft Office Standard 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}" = Visual C++ 8.0 CRT (x86) WinSXS MSM
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A70000000000}" = Adobe Reader 7.0 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA664480-3844-11D5-8C25-444553540000}" = Funktion "IBM TrackPoint-Eingabehilfen"
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Ashampoo Burning Studio 2010_is1" = Ashampoo Burning Studio 2010
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP4500 series Benutzerregistrierung" = Canon iP4500 series Benutzerregistrierung
"CANONIJPLM100" = PIXMA Extended Survey Program
"CanonMyPrinter" = Canon My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CCleaner" = CCleaner
"Citavi" = Citavi 2.4.9.0
"CNXT_MODEM_PCI_VEN_8086&DEV_24C6&SUBSYS_05591014" = IBM Integrated 56K Modem
"DVD Shrink_is1" = DVD Shrink 3.2
"EasyEject Utility" = Dienstprogramm 'IBM ThinkPad EasyEject'
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ERUNT_is1" = ERUNT 1.1j
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"GPL Ghostscript 8.70" = GPL Ghostscript 8.70
"ie8" = Windows Internet Explorer 8
"InstallShield_{6C72E14A-C1F3-45E5-8810-83CE3C19ED63}" = IBM 32-bit Runtime Environment for Java 2, v1.4.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaMonkey_is1" = MediaMonkey 3.2
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Miranda IM" = Miranda IM 0.9.11
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.0)" = Mozilla Thunderbird (3.0)
"Power Features" = IBM ThinkPad 'Akku-MaxiMiser' und Stromsparfunktionen
"Power Management Driver" = IBM ThinkPad Power Management Driver
"Presentation Director" = IBM ThinkPad 'Präsentationsdirektor'
"ProInst" = Intel(R) PROSet/Wireless Software
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"STANDARD" = Microsoft Office Standard 2007
"ThinkPad Configuration" = IBM ThinkPad-Konfiguration
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"ThinkPadSoftwareInstaller" = Installationsprogramm für ThinkPad-Software
"TrackPoint" = IBM TrackPoint Support
"TVUPlayer" = TVUPlayer 2.5.3.1
"Verbindungsassistent" = Verbindungsassistent
"VLC media player" = VLC media player 1.0.3
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"ZoneAlarm" = ZoneAlarm
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2011 09:43:39 | Computer Name = IBM-FA6B4EDFB35 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
Error - 13.01.2011 09:09:58 | Computer Name = IBM-FA6B4EDFB35 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung notepad.exe, Version 5.1.2600.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 17.01.2011 09:59:53 | Computer Name = IBM-FA6B4EDFB35 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 18.01.2011 04:15:28 | Computer Name = IBM-FA6B4EDFB35 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 18.01.2011 17:31:42 | Computer Name = IBM-FA6B4EDFB35 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
Error - 21.01.2011 08:37:47 | Computer Name = IBM-FA6B4EDFB35 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul 
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.01.2011 08:37:51 | Computer Name = IBM-FA6B4EDFB35 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul 
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.01.2011 08:38:11 | Computer Name = IBM-FA6B4EDFB35 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul 
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.01.2011 08:38:11 | Computer Name = IBM-FA6B4EDFB35 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul 
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.01.2011 04:33:21 | Computer Name = IBM-FA6B4EDFB35 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
[ System Events ]
Error - 27.01.2011 14:21:44 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "EvtEng" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 27.01.2011 14:21:44 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "Spectrum24 Event Monitor" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
 
Error - 27.01.2011 14:21:45 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "IBM Rapid Restore Ultra Service" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
 
Error - 27.01.2011 14:21:45 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "PIXMA Extended Survey Program" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 27.01.2011 14:21:45 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "RegSrvc" wurde unerwartet beendet. Dies ist bereits 1 Mal 
passiert.
 
Error - 27.01.2011 14:21:46 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "Einfache TCP/IP-Dienste" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
 
Error - 27.01.2011 14:21:46 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "SNMP-Dienst" wurde unerwartet beendet. Dies ist bereits 1 
Mal passiert.
 
Error - 27.01.2011 14:21:46 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "IBM KCU Service" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 27.01.2011 14:21:46 | Computer Name = IBM-FA6B4EDFB35 | Source = Service Control Manager | ID = 7034
Description = Dienst "WTGService" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
 
Error - 27.01.2011 14:55:20 | Computer Name = IBM-FA6B4EDFB35 | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
 
 
< End of report >

--- --- ---

Wie gesagt, bei der Bank hieß es, dass mein Konto wegen einem Trojaner gesperrt wäre. Muss ich meinen PC jetzt neu machen?
Vielen Dank schonmal an dieser Stelle für eure Hilfe!

Viele Grüße

Jochen

markusg · 27.01.2011, 21:40

ne ahnung wo du dir das gehohlt hast? hast du nen link, wenn ja als private nachicht an mich.
es wäre das beste, wenn du daten sicherst und wir dann gemeinsam das system neu aufsetzen und absichern, nur so wirst du wieder sicher onlinebanking machen können, du hattest noch glück, dass geld hätte auch weg sein können

yoda85 · 27.01.2011, 21:47

Vielen Dank erstmal für deine schnelle Antwort!

Nein, hab leider keine Ahnung... Antivir war dummerweise seit ein paar Tagen nicht mehr aktualisiert worden... sonst hätte es wahrscheinlich gleich gepiepst?!

Die Trojaner an sich sind jetzt ja gelöscht, kann ich dann meine Daten einfach so kopieren, oder wie gehe ich da am besten vor?

PS: Mein Windows ist auf einer Partition, ich hab da keine Sicherung oder ähnliches, kann diese dann auch "befallen" sein?

markusg · 28.01.2011, 12:10

hi, ob avira "gepipst" hätte, kann ich dir nicht mit hundert prozentiger sicherheit sagen.
aber in zukunft, wenn du meine anweisungen zum absichern genau abarbeitest, wird avira täglich aktualisiert, automatisch.
daten sichern:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
deaktiviere autorun.
sichere nur legal erworbene daten, keine keygens etc.
die partition mit windows ist nicht befallen, wenn du so weit bist, gib bescheid, dann folgen weitere anleitungen.

yoda85 · 28.01.2011, 12:23

dh dass ich jetzt erst autorun deaktiviere und danach kann ich dann problemlos meine daten (word, bilder usw) sichern?

markusg · 28.01.2011, 12:29

genau, das deaktivieren von autorun ist eine sicherheitsmaßname, falls du malware hast, die sich über autorun verbreitet, haben wir diese möglichkeit mit deaktivieren eben dieser option ausgeschlossen.

yoda85 · 28.01.2011, 14:41

so, jetzt hab ich alles was ich brauche gesichert.
ich wär bereit für den nächsten schritt

markusg · 28.01.2011, 15:52

ok,
auf die recovery partition kommst du meist bei pc start mit f9 f10 f11 oder f12, musst mal testen, bzw im handbuch schauen.
formatiere also deine festplatte (c

instaliere windows neu.
dann weiter und zwar in reihenfolge:
http://www.trojaner-board.de/96344-a...-rechners.html

yoda85 · 28.01.2011, 16:03

danke für die ausführliche antwort!
da hab ich ja einiges vor mir

ich bin die nächsten tage weg... ich meld mich aber auf jeden fall und sag bescheid wies gelaufen ist!
danke schonmal

markusg · 28.01.2011, 16:09

ok das wäre nett, bei problemen natürlich auch :-)

yoda85 · 28.01.2011, 23:34

hi markus,

hab jetzt doch alles fertig hinbekommen! wenn man so ne liste zum abarbeiten hat, dann geht das doch ganz gut

werde in zukunft auf jeden fall vorsichtiger sein und mir deine tipps zu herzen nehmen (und vorallem auch anwenden

)

vielen dank nochmal!

Grüße
und ein gutes WE

Jochen

markusg · 29.01.2011, 12:36

vieles davon erfordert ja nicht viel arbeit deinerseits.
das surfen in der sandbox ist einfach, anstelle deines browsers klickst du halt auf sandboxed web browser.
secunia instaliert in version viele updates, die mit au, automatisch und den rest muss man halt per hand erledigen.
avira macht auch alles automatisch, wenn du den planer richtig eingestellt hast, backups kannst du auch automatisch erledigen lassen.
ich denke größtenteils ist die anleitung für den "faulen user", was keine beleigigung sein soll wer ist nicht gern faul. ;-) praktisch und erfordert kaum eigenes handeln.

27.01.2011, 21:40	#2
markusg /// Malware-holic	Trojaner SpyEye und Crypt.XPACK.Gen ne ahnung wo du dir das gehohlt hast? hast du nen link, wenn ja als private nachicht an mich. es wäre das beste, wenn du daten sicherst und wir dann gemeinsam das system neu aufsetzen und absichern, nur so wirst du wieder sicher onlinebanking machen können, du hattest noch glück, dass geld hätte auch weg sein können __________________ __________________

28.01.2011, 12:29	#6
markusg /// Malware-holic	Trojaner SpyEye und Crypt.XPACK.Gen genau, das deaktivieren von autorun ist eine sicherheitsmaßname, falls du malware hast, die sich über autorun verbreitet, haben wir diese möglichkeit mit deaktivieren eben dieser option ausgeschlossen. __________________ --> Trojaner SpyEye und Crypt.XPACK.Gen

28.01.2011, 16:09	#10
markusg /// Malware-holic	Trojaner SpyEye und Crypt.XPACK.Gen ok das wäre nett, bei problemen natürlich auch :-) __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Trojaner SpyEye und Crypt.XPACK.Gen

Plagegeister aller Art und deren Bekämpfung: Trojaner SpyEye und Crypt.XPACK.Gen