|
Plagegeister aller Art und deren Bekämpfung: System tool kann ich nicht entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.02.2011, 21:08 | #1 |
| System tool kann ich nicht entfernen Hi! ich hab mir dieses "System tool" eingefangen und tue mir schwer mit dem entfernen: Die Anleitung hier im Board hab ich gelesen. 1. Problem: Ich starte das rkill.com Das Programm läuft durch, läd den Desktop neu (inkl. dem Infofenster, dass der Rechner im abgesicherten Modus läuft) und öffnet eine log-Datei (text), dass rundll32.exe gestoppt wurde. Diese Datei läuft laut Taskmanager nicht. Frage: Wie oft muss ich das Programm ausführen? Hab die Datei jetzt 10 mal ausgeführt und immer mit dem selben ergebnis. Auch ein umbenennen in explorer.exe führt zu dem selben Ergebnis. 2. Problem: Malwarebytes: Ich kann das Programm zwar installieren und starten, aber nicht updaten. Ich müsste mich ins Internet einwählen (PPPOE), aber das geht im abgesicherten Modus nicht. Da gingen wenn dann nur ne lan-verbindungen. Lasse ich das Programm so durchlaufen, findet es nichts von den genannten Dateien/Ergebnissen. Wie werden ich das Ding jetzt los? Oder andere Frage: Wie verbreitet es sich? Ich hab nämlich noch ne Back-up Festplatte mit nem sauberen Windows7 drauf. Hab kein Problem damit die zu verwenden (ist wohl auch besser, als ein unsicheres altes System zu haben) allerdings muss ich halt einige Daten (Dokumente, Thunderbird-Emailprofil, etc) vom verseuchten System kopieren. Geht das gefahrlos über einen z.b. USB-Stick? Oder laufe ich da Gefahr mir auch auf dem neuen System was einzufangen? Wobei ich nicht alles über den USB-Stick transportieren kann. Ich MUSS teilweise zwingend auf Partitionen (nicht die System-Partition) der alten verseuchten Platte zugreifen! Wobei das auch über ein Live-Unix-System (Knoppix o.ä.) laufen könnte(!) Edit: Nachtrag: Auch mit dem OTHelper gehts nicht. D.h. damit alles schließen und das - ungeupdatete - Malwarebytes im komplettscan laufen lassen findet nichts. Und falls es was hilft die beiden Log-Files vom OTL: OTL.TXT OTL Logfile: Code:
ATTFilter OTL logfile created on: 14.02.2011 21:53:02 - Run 1 OTL by OldTimer - Version 3.2.20.6 Folder = G:\system Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 90,00% Memory free 6,00 Gb Paging File | 6,00 Gb Available in Paging File | 96,00% Paging File free Paging file location(s): [Binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,57 Gb Total Space | 23,66 Gb Free Space | 62,98% Space Free | Partition Type: NTFS Drive D: | 48,83 Gb Total Space | 10,82 Gb Free Space | 22,15% Space Free | Partition Type: NTFS Drive E: | 146,48 Gb Total Space | 13,36 Gb Free Space | 9,12% Space Free | Partition Type: NTFS Drive G: | 1002,70 Mb Total Space | 272,63 Mb Free Space | 27,19% Space Free | Partition Type: FAT Computer Name: XXXX | User Name: XXXX| Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - G:\system\OTL.exe (OldTimer Tools) PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Limited) PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft Limited) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - G:\system\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- File not found SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Limited) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (SmcService) -- C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys () DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (truecrypt) -- C:\WINDOWS\system32\drivers\truecrypt.sys (TrueCrypt Foundation) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (RTHDMIAzAudService) -- C:\WINDOWS\system32\drivers\RtHDMI.sys (Realtek Semiconductor Corp.) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (motmodem) -- C:\WINDOWS\system32\drivers\motmodem.sys (Motorola) DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DGIVECP.SYS (Samsung Electronics Co., Ltd.) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (SaiH0006) -- C:\WINDOWS\system32\drivers\SaiH0006.sys (Saitek) DRV - (wpsdrvnt) -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Sygate Technologies, Inc.) DRV - (Teefer) -- C:\WINDOWS\SYSTEM32\Drivers\Teefer.sys (Sygate Technologies, Inc.) DRV - (wg3n) -- C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys (Sygate Technologies, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.spiegel.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3 FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.2 FF - prefs.js..extensions.enabledItems: en-US@dictionaries.addons.mozilla.org:5.0.1 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.21 19:43:54 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.28 15:06:36 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.01.23 00:33:45 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.12.28 15:06:36 | 000,000,000 | ---D | M] [2010.01.22 19:35:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Extensions [2010.01.22 19:35:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.05.09 16:19:37 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\dptpf1bx.test\extensions [2010.05.09 16:19:37 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\dptpf1bx.test\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011.02.13 10:30:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\sfekavn1.default\extensions [2010.12.23 18:31:19 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\sfekavn1.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.11.19 14:39:01 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\sfekavn1.default\extensions\de-DE@dictionaries.addons.mozilla.org [2010.12.23 15:22:28 | 000,000,000 | ---D | M] (United States English Spellchecker) -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\sfekavn1.default\extensions\en-US@dictionaries.addons.mozilla.org [2011.02.13 10:30:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.10.23 18:07:55 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.10.23 18:07:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.10.23 18:07:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.10.23 18:07:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.10.23 18:07:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.02.14 19:57:44 | 000,000,734 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Programme\Vuze_Remote\tbVuz1.dll (Conduit Ltd.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe () O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd) O4 - HKCU..\RunOnce: [gDnOkNh17702] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gDnOkNh17702\gDnOkNh17702.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Quicken 2010 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2010\billmind.exe (Lexware GmbH & Co. KG) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1286092842515 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - Explorer.exe () O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2009.05.20 18:48:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.04.02 07:56:35 | 000,000,000 | ---D | M] - E:\auto-cd -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.02.14 21:20:24 | 000,258,560 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXXX\Desktop\OTH.scr [2011.02.14 20:07:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Malwarebytes [2011.02.14 20:07:45 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.02.14 20:07:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.02.14 20:07:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.02.14 20:07:42 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.02.14 20:07:42 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.02.14 20:07:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXXX\Desktop\system [2011.02.14 19:58:13 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2011.02.13 13:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gDnOkNh17702 [2011.02.01 21:53:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\Flight Simulator X-Dateien [2011.02.01 21:44:42 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0 [2011.02.01 21:44:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Games [2011.02.01 21:43:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Application Data [2011.01.28 14:46:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\dvdcss [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.02.14 21:52:08 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.02.14 21:50:56 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2011.02.14 21:50:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.02.14 21:00:34 | 000,411,266 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.02.14 21:00:34 | 000,397,560 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.02.14 21:00:34 | 000,072,490 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.02.14 21:00:34 | 000,059,780 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.02.14 20:55:10 | 000,258,560 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXXX\Desktop\OTH.scr [2011.02.14 20:07:45 | 000,000,768 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\Malwarebytes' Anti-Malware.lnk [2011.02.14 20:07:45 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.02.14 19:57:44 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2011.02.13 17:03:56 | 000,159,232 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\zuwachs.xls [2011.02.13 13:41:37 | 000,016,432 | ---- | M] () -- C:\WINDOWS\System32\lsdelete.exe [2011.02.12 18:02:47 | 000,017,408 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\mtv.xls [2011.02.12 14:20:23 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini [2011.02.08 18:47:56 | 000,040,960 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\Carsharing-Sprünge.xls [2011.02.02 05:59:23 | 001,429,024 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.02.01 21:44:14 | 000,000,624 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Flight Simulator X.lnk [2011.02.01 21:16:52 | 000,076,288 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.01.30 17:25:58 | 000,069,632 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\Anschreiben+Lebenslauf.doc [2011.01.29 13:30:58 | 000,029,184 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\fallschirm.doc [2011.01.29 11:41:24 | 020,107,471 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\fabric_color_study.zip [2011.01.25 21:05:25 | 000,018,432 | ---- | M] () -- C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\spirit.xls [2011.01.17 20:37:26 | 000,001,934 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.02.14 21:19:50 | 000,000,768 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\Malwarebytes' Anti-Malware.lnk [2011.02.14 20:07:45 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.02.01 21:44:14 | 000,000,624 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Flight Simulator X.lnk [2011.01.30 17:24:36 | 000,069,632 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\Anschreiben+Lebenslauf.doc [2011.01.29 13:30:58 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\fallschirm.doc [2011.01.29 11:40:28 | 020,107,471 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Desktop\fabric_color_study.zip [2011.01.25 21:05:25 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\spirit.xls [2011.01.17 20:37:26 | 000,001,934 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk [2010.04.02 07:42:49 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2010.01.11 21:32:19 | 000,000,000 | ---- | C] () -- C:\WINDOWS\xmcoder.INI [2009.07.07 16:01:29 | 003,195,904 | ---- | C] () -- C:\Programme\Gemeinsame DateienDDBACSetup.msi [2009.07.06 21:06:49 | 000,106,496 | R--- | C] () -- C:\WINDOWS\System32\WIAIPH.dll [2009.07.06 21:06:49 | 000,081,920 | R--- | C] () -- C:\WINDOWS\System32\WIAEH.dll [2009.07.06 21:06:49 | 000,057,344 | R--- | C] () -- C:\WINDOWS\System32\Sswiadrv.dll [2009.07.06 21:06:49 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\WIASTIIO.dll [2009.07.06 21:03:53 | 000,009,392 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\SmarThruOptions.xml [2009.07.06 21:03:43 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\SecSNMP.dll [2009.07.06 21:03:32 | 000,000,116 | ---- | C] () -- C:\WINDOWS\Readiris.ini [2009.07.06 21:03:30 | 000,023,040 | ---- | C] () -- C:\WINDOWS\System32\irisco32.dll [2009.05.27 19:49:16 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.05.21 07:59:05 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.05.20 20:50:35 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll [2009.05.20 20:25:55 | 000,076,288 | ---- | C] () -- C:\Dokumente und Einstellungen\XXXX\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.05.20 19:41:54 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.05.20 19:38:24 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini [2009.02.02 19:10:14 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2009.02.02 19:08:36 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2009.02.02 19:08:22 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2004.08.04 11:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll [2002.10.15 23:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll < End of report > Extras.txt: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 14.02.2011 21:53:02 - Run 1 OTL by OldTimer - Version 3.2.20.6 Folder = G:\system Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 90,00% Memory free 6,00 Gb Paging File | 6,00 Gb Available in Paging File | 96,00% Paging File free Paging file location(s): [Binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,57 Gb Total Space | 23,66 Gb Free Space | 62,98% Space Free | Partition Type: NTFS Drive D: | 48,83 Gb Total Space | 10,82 Gb Free Space | 22,15% Space Free | Partition Type: NTFS Drive E: | 146,48 Gb Total Space | 13,36 Gb Free Space | 9,12% Space Free | Partition Type: NTFS Drive G: | 1002,70 Mb Total Space | 272,63 Mb Free Space | 27,19% Space Free | Partition Type: FAT Computer Name: FRONTLOOP | User Name: XXXX | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\ List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPort s\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplicat ions\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List] "C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios) "D:\burnout\BurnoutLauncher.exe" = D:\burnout\BurnoutLauncher.exe:*:Enabled:Burnout(TM) Paradise The Ultimate Box -- (Electronic Arts) "D:\burnout\BurnoutConfigTool.exe" = D:\burnout\BurnoutConfigTool.exe:*:Enabled:Burnout(TM) Paradise The Ultimate Box -- (Electronic Arts) "D:\burnout\BurnoutParadise.exe" = D:\burnout\BurnoutParadise.exe:*:Enabled:Burnout(TM) Paradise The Ultimate Box -- (Electronic Arts) "D:\Neverwinter Nights 2\nwn2main.exe" = D:\Neverwinter Nights 2\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main -- (Obsidian Entertainment, Inc.) "D:\Neverwinter Nights 2\nwn2main_amdxp.exe" = D:\Neverwinter Nights 2\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD -- (Obsidian Entertainment, Inc.) "D:\Neverwinter Nights 2\nwupdate.exe" = D:\Neverwinter Nights 2\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater -- (Obsidian Entertainment, Inc.) "D:\Neverwinter Nights 2\nwn2server.exe" = D:\Neverwinter Nights 2\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server -- (Obsidian Entertainment, Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{02FB40EA-C8AC-36F7-A546-B083E00AF3AA}" = Catalyst Control Center Core Implementation "{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3 "{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center "{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer Generals "{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting "{0E900196-D879-4905-0098-B3BCECF72AB9}" = NASCAR SimRacing "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{14D08502-FEE4-40E5-90D3-8A967A1D8BA2}" = Readiris Pro 10 "{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13 "{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3 "{29F05234-DCBB-4FE0-88DC-5160C9250312}" = Adobe Photoshop CS3 "{3118E461-1976-4F6A-97B4-B655F3AAB263}" = Wertpapieranalyse 2009 "{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}" = Steuer-Spar-Erklärung 2009 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{4445BFF0-008A-8F5C-9D68-B0164F7E26FF}" = ccc-core-static "{4C9E7EA5-9A3F-4C54-9038-EBB4CF25C29D}" = Quicken 2010 - Servicepack 5 "{4D89AFAD-669B-514A-E150-7DA3208477DC}" = ccc-utility "{4E47B686-8DFF-1AAD-3264-A537E2FC3833}" = Catalyst Control Center Graphics Previews Common "{4EA3F09B-2761-4A8D-9694-43DB2B965391}_is1" = DANCE 5.2 "{4F8AFA74-1562-4980-8B87-8C07E8DE8FAF}" = Quicken 2010 "{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3 "{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service "{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All "{6C35CAC7-27C9-4CB0-BBB8-CBF9994215DA}" = Lexware online banking "{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3 "{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK "{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings "{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update "{7764393A-A48B-6BB2-28BC-A6B4EF3A95BC}" = Catalyst Control Center Graphics Full Existing "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7DA9F24A-CEC3-426E-BFFA-ADB94D922463}" = Quicken Import Export Server 2010 "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{7FC7AD70-1DF3-4B84-9AA2-4FB680F45572}_is1" = Hex-Editor MX "{802771A9-A856-4A41-ACF7-1450E523C923}" = Adobe XMP Panels CS3 "{81B3BEF9-5D97-4096-86E9-5B48A5BC32D0}" = Motorola Driver Installation 3.4.0 "{825DFF04-8FB0-3430-CB22-8725719B1A01}" = Catalyst Control Center Graphics Light "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{84430565-C205-B818-7D13-052F88707F70}" = CCC Help English "{8704D51E-25B7-4F23-81E7-AA4F54790230}" = Microsoft MapPoint North America 2004 "{8704D51E-25B7-4F23-81E7-AA4F54790240}" = Microsoft MapPoint Europa 2004 "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3 "{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support "{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3 "{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage "{90F1943D-EA4A-4460-B59F-30023F3BA69A}" = SmarThru 4 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9A996B6A-846E-4A89-B9C4-17546B7BE49F}" = Burnout(TM) Paradise The Ultimate Box "{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3 "{9F5FD796-86F0-4360-85F8-D54C0F5411EB}" = Steuer-Spar-Erklärung 2011 "{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps "{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A8589680-35C1-4732-ACCA-09B78921ECE3}" = Sid Meier's Civilization 4 "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings "{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch "{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9 "{ACAB3F35-588C-4F2E-81FF-764839A632D7}" = DDBAC "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0 "{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1 "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3 "{BAD8CA9C-77C0-4663-B00B-A8D3B13C341B}" = Motorola Phone Tools "{BBCAA1F8-DBC5-46A4-B734-21D446E75FD2}" = Motorola Phone Tools "{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver "{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2 "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CBA2E782-C278-4B81-008D-4703FCBC1A2E}" = SimCity 4 "{CF929EEB-CE39-4F06-B1BF-F51FC617A2B2}" = Catalyst Control Center - Branding "{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4 "{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client "{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files "{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}" = GTA San Andreas "{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010 "{D99667FF-4A9B-B278-9014-BEA2896F413F}" = ccc-core-preinstall "{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings "{DBD86EB8-8536-DB02-EC42-31ED143497A8}" = Catalyst Control Center HydraVision Full "{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings "{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware "{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3 "{E8C23EBE-EE3C-4299-9DB9-601AB3751454}" = AAVUpdateManager "{E9F882ED-C2B8-2716-0330-7FBA5C9C455B}" = Catalyst Control Center Graphics Full New "{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}" = Adobe Setup "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F20C1251-1D0A-4944-B2AE-678581B33B19}" = Neverwinter Nights 2 "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{F49FEF83-45CA-4CE8-8304-A7372BA07AA9}" = Motorola Phone Tools "{F535B2CF-C9BB-4162-B03A-02D6971F32CC}" = Microsoft Flight Simulator X "{F860F390-78F4-4B45-8C1A-0489618E315B}" = Sygate Personal Firewall "{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings "8461-7759-5462-8226" = Vuze "9657EE3B-8192-467a-8292-976253F38749_is1" = Jagged Alliance 2 v1.13 (EN) [1.0.0.2085] "Ad-Aware" = Ad-Aware "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Adobe_5f143314a5d434c8511097393d17397" = Adobe Photoshop CS3 "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "AviSynth" = AviSynth 2.5 "BSPlayer1" = BSPlayer "CCleaner" = CCleaner (remove only) "DAEMON Tools Toolbar" = DAEMON Tools Toolbar "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "FreePDF_XP" = FreePDF XP (Remove only) "GameWiz32" = GameWiz32 "Gordian Knot" = Gordian Knot Rip Pack 0.35.0 "GPL Ghostscript 8.64" = GPL Ghostscript 8.64 "Guitar Pro 5_is1" = Guitar Pro 5.2 "InstallShield_{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer Generals "InstallShield_{4F8AFA74-1562-4980-8B87-8C07E8DE8FAF}" = Quicken Deluxe 2010 "InstallShield_{F535B2CF-C9BB-4162-B03A-02D6971F32CC}" = Microsoft Flight Simulator X "Jagged Alliance 2 Gold" = Jagged Alliance 2 Gold "KaloMa_is1" = KaloMa 4.78 "KLiteCodecPack_is1" = K-Lite Codec Pack 4.8.5 (Standard) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) "Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7) "Mp3tag" = Mp3tag v2.43 "OpenTTD" = OpenTTD 1.0.5 "Redirection Port Monitor" = RedMon - Redirection Port Monitor "RollerCoaster Tycoon Setup" = Roll "Samsung SCX-4200 Series" = Samsung SCX-4200 Series "SP1_F535B2CF-C9BB-4162-B03A-02D6971F32CC" = Microsoft Flight Simulator X Service Pack 1 "ST6UNST #1" = FMS32-PRO Version 3.1.5 "Trillian" = Trillian "TrueCrypt" = TrueCrypt "VLC media player" = VLC media player 1.0.3 "VobSub" = VobSub v2.23 (Remove Only) "Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 "WinAce Archiver" = WinAce Archiver "Winamp" = Winamp (nur entfernen) "Windows Media Format Runtime" = Windows Media Format 11 runtime "WMFDist11" = Windows Media Format 11 runtime "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 09.02.2011 10:44:28 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 09.02.2011 14:40:11 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 10.02.2011 15:14:59 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 11.02.2011 07:46:07 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 12.02.2011 04:45:41 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 12.02.2011 20:47:57 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 13.02.2011 05:20:21 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 14.02.2011 12:03:49 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 14.02.2011 12:08:10 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . Error - 14.02.2011 12:13:54 | Computer Name = FRONTLOOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. . [ System Events ] Error - 14.02.2011 15:56:58 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 14.02.2011 16:17:39 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 14.02.2011 16:20:17 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 14.02.2011 16:20:17 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 14.02.2011 16:20:34 | Computer Name = FRONTLOOP | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Lavasoft Ad-Aware Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 5000 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 14.02.2011 16:20:54 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 14.02.2011 16:49:33 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 14.02.2011 16:50:33 | Computer Name = FRONTLOOP | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: AmdK8 avgio avipbb Fips ssmdrv truecrypt Error - 14.02.2011 16:52:25 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 14.02.2011 16:52:28 | Computer Name = FRONTLOOP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} < End of report > Geändert von frontloop (14.02.2011 um 22:06 Uhr) |
15.02.2011, 12:04 | #2 |
/// Malware-holic | System tool kann ich nicht entfernen ja vllt können wir das windows 7 nutzen aber ich möchte mir vorher was ansehen, vllt kommen wir drumm rum
__________________• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL :Files C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gDnOkNh17702 :Commands [purity] [EMPTYFLASH] [emptytemp] [resethosts] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
15.02.2011, 17:25 | #3 |
| System tool kann ich nicht entfernen ok. hab ich gemacht.
__________________Was passiert jetzt? |
15.02.2011, 17:27 | #4 |
/// Malware-holic | System tool kann ich nicht entfernen kannst wieder im normalem modus starten? sollte klappen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
15.02.2011, 17:33 | #5 |
| System tool kann ich nicht entfernen Hm. Scheint jetzt wieder zu gehen! Vielen Dank!!! Wie kann ich so einen Mist in zukunft am besten verhindern? Router hab ich nicht und Virenscanner (Antivir) bzw. Firewall (Sygate personal firewall) sind eigentlich installiert und aktuell.. |
15.02.2011, 17:40 | #6 |
/// Malware-holic | System tool kann ich nicht entfernen wir sind noch net durch, am ende sag ichs dir. update Malwarebytes und mach nen kompletten scan. log posten
__________________ --> System tool kann ich nicht entfernen |
15.02.2011, 18:45 | #7 |
| System tool kann ich nicht entfernen Malwarebytes hab ich upgedatet und laufen lassen. Allerdings völlig ohne Befund! |
15.02.2011, 18:53 | #8 |
/// Malware-holic | System tool kann ich nicht entfernen häng trotzdem das log an, will sicher gehen das das mit dem update auch geklappt hatt.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
15.02.2011, 18:55 | #9 | |
| System tool kann ich nicht entfernen Ok, hier ist das aktuelle log-file! Zitat:
|
15.02.2011, 19:01 | #10 |
/// Malware-holic | System tool kann ich nicht entfernen wie läuft das system? lade den CCleaner slim: Piriform - Builds falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
15.02.2011, 20:27 | #11 | |
| System tool kann ich nicht entfernen Ich hab aus der Liste mal alle Programme rausgenommen, die ich sicher kenne und die sicher von mir sind. (Sind die meisten). Alle die jetzt hier noch stehen sind entweder unbekannt oder dubios, weil sie z.B. mehrfach vorkommen. Zitat:
|
15.02.2011, 20:37 | #12 |
/// Malware-holic | System tool kann ich nicht entfernen sieht ok aus. avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. und "nachhohlen falls zeit überschritten" auswählen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
15.02.2011, 20:46 | #13 |
| System tool kann ich nicht entfernen ok. ist gemacht. Ohne Befund durchgelaufen. |
16.02.2011, 11:23 | #14 |
/// Malware-holic | System tool kann ich nicht entfernen bitte unter ereignisse das log suchen und posten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu System tool kann ich nicht entfernen |
0x00000001, adblock, altes system, anleitung, avgntflt.sys, cdburnerxp, conduit, desktop, dll, entfernen, explorer.exe, festplatte, gen, gestoppt, internet, link, location, log-datei, log-files, malwarebytes, mozilla thunderbird, neu, neue, oldtimer, otl.exe, plug-in, problem, programm, rechner, rundll, rundll32.exe, saver, sched.exe, searchplugins, shell32.dll, shortcut, sptd.sys, staropen, starten, system, system restore, taskmanager, tool, update, vlc media player, windows, öffnet |