|
Plagegeister aller Art und deren Bekämpfung: Unbekannter Windows Dienst "WWY"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.03.2011, 20:04 | #1 |
| Unbekannter Windows Dienst "WWY" Hallo in die Runde, kennt jemand von Euch den Dienst "WWY" (WinXP)? Ich habe diesen Dienst kürzlich auf meinem PC entdeckt und kann damit nichts anfangen. Es gibt zu dem Dienst keine weiteren Informationen und auch keinen Vrweis auf irgendeine .exe... Mein Computer läuft eigentlich soweit ganz normal ohne Zicken aber ich bin dennoch besorgt, daß ich mir da was eingefangen habe. Scans mit Avast und Malwarebytes haben nichts ergeben. Weiß jemand Rat? Danke!
__________________ WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW |
15.03.2011, 11:50 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Unbekannter Windows Dienst "WWY" 1.) Poste bitte alle Logs von Malwarebytes auch wenn keine Funde dabei waren!
__________________2.) Erstell Logs mit OTL.exe und poste sie 3.) Stimmt deine Signatur noch so? XPSP2 ist völlig veraltet, das SP3 ist Pflicht. Und eine PFW (auch von Sunbelt) ist kontraproduktiv.
__________________ |
15.03.2011, 17:34 | #3 |
| Unbekannter Windows Dienst "WWY" Hallo Arne,
__________________danke, daß du Dich meiner annimmst! 1) Malwarebyte-Logs: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6067 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 15.03.2011 16:58:12 mbam-log-2011-03-15 (16-58-12).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 163520 Laufzeit: 2 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------------------------------ Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5979 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 10.03.2011 01:41:04 mbam-log-2011-03-10 (01-41-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 229606 Laufzeit: 51 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------------------------ 2) OTL-LogsOTL Logfile: Code:
ATTFilter OTL logfile created on: 15.03.2011 17:04:23 - Run 1 OTL by OldTimer - Version 3.2.22.3 Folder = E:\DOWNLOAD\Utilities\SECURITY Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): F:\pagefile.sys 768 768 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme Drive C: | 14,65 Gb Total Space | 4,47 Gb Free Space | 30,50% Space Free | Partition Type: NTFS Drive D: | 14,65 Gb Total Space | 1,25 Gb Free Space | 8,56% Space Free | Partition Type: NTFS Drive E: | 24,41 Gb Total Space | 2,36 Gb Free Space | 9,68% Space Free | Partition Type: NTFS Drive F: | 22,98 Gb Total Space | 3,35 Gb Free Space | 14,60% Space Free | Partition Type: NTFS Drive H: | 363,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive J: | 533,75 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: HAL9000 | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - E:\DOWNLOAD\Utilities\SECURITY\OTL.exe (OldTimer Tools) PRC - D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - D:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software) PRC - D:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) PRC - E:\DOWNLOAD\Utilities\Proxomitron4.51-S-3.3.2\Proxomitron.exe () PRC - D:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe (Sunbelt Software) PRC - D:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (Sunbelt Software) PRC - D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - E:\DOWNLOAD\Utilities\SECURITY\OTL.exe (OldTimer Tools) MOD - D:\Programme\Alwil Software\Avast5\snxhk.dll (AVAST Software) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (WWY) -- File not found SRV - (Pml Driver HPZ12) -- File not found SRV - (Net Driver HPZ12) -- File not found SRV - (HidServ) -- File not found SRV - (gusvc) -- File not found SRV - (avast! Antivirus) -- D:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (NMSAccess) -- D:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (CodeMeter.exe) -- D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe (WIBU-SYSTEMS AG) SRV - (SPF4) -- D:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (Sunbelt Software) ========== Driver Services (SafeList) ========== DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software) DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software) DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software) DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software) DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software) DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software) DRV - (1612midi) -- C:\WINDOWS\system32\drivers\1612midi.sys (Hercules) DRV - (1612wav) Hercules 16/12 FW Audio Device (WDM) -- C:\WINDOWS\system32\drivers\1612Wav.sys (Hercules) DRV - (1612FW) -- C:\WINDOWS\system32\drivers\1612FW.sys (Hercules) DRV - (khips) -- C:\WINDOWS\system32\drivers\khips.sys (Sunbelt Software) DRV - (fwdrv) -- C:\WINDOWS\system32\drivers\fwdrv.sys (Sunbelt Software) DRV - (vncdrv) -- C:\WINDOWS\system32\drivers\vncdrv.sys (RDV Soft) DRV - (vnccom) -- C:\WINDOWS\system32\drivers\vnccom.SYS (RDV Soft) DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( ) DRV - (d347bus) -- C:\WINDOWS\System32\DRIVERS\d347bus.sys ( ) DRV - (1612GSIF) -- C:\WINDOWS\system32\drivers\1612gsif.sys (Hercules) DRV - (b57w2k) Broadcom NetLink (TM) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation) DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH) DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudios.sys (VIA Technologies, Inc.) DRV - (MagixASIODrv) -- D:\Programme\Magix\Samplitude_11\mxasio.sys (MAGIX AG) DRV - (Aspi32) -- C:\WINDOWS\System32\drivers\aspi32.sys (Adaptec) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://barrierefrei.e-workers.de/workshops/ie-fun/index.html IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8080;https=127.0.0.1:8080 ========== FireFox ========== FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: D:\Programme\Mozilla Firefox\components [2011.03.09 19:36:41 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2011.03.07 15:48:31 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.03.05 16:57:14 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.02.19 13:14:55 | 000,000,000 | ---D | M] [2010.12.28 19:16:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.12.28 19:16:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2011.03.15 00:04:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions [2011.02.19 16:58:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{12bc3590-67a6-11de-8a39-0800200c9a66} [2011.02.20 21:16:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{1a46a8a0-3278-11dd-bd11-0800200c9a66} [2011.03.03 22:47:27 | 000,000,000 | ---D | M] (Stylish) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8} [2010.12.28 20:33:06 | 000,000,000 | ---D | M] (NewsFox) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{899DF1F8-2F43-4394-8315-37F6744E6319} [2011.01.10 18:55:38 | 000,000,000 | ---D | M] (Web Developer) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12} [2010.12.28 18:34:25 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2011.03.11 15:07:32 | 000,000,000 | ---D | M] ("BetterPrivacy") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3} [2011.02.19 16:58:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{D46E8522-6E86-44b1-A622-58C0668AD78E} [2011.03.11 22:39:38 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} [2010.12.28 18:34:25 | 000,000,000 | ---D | M] ("Cookie Button") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d832c3e4-1a62-48ea-9a1f-5091a1ec3bc5} [2011.01.27 17:43:21 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} [2010.12.28 20:34:10 | 000,000,000 | ---D | M] (Add Bookmark Here ²) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\abhere2@moztw.org [2011.03.12 23:34:21 | 000,000,000 | ---D | M] (Element Hiding Helper for Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\elemhidehelper@adblockplus.org [2010.12.28 20:41:06 | 000,000,000 | ---D | M] (external IP) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\externalip@erik.morlin [2011.02.20 12:22:16 | 000,000,000 | ---D | M] (DOM Inspector) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\inspector@mozilla.org [2010.12.28 19:20:55 | 000,000,000 | ---D | M] (OptimizeGoogle) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\optimizegoogle@optimizegoogle.com [2010.12.28 20:52:07 | 000,000,000 | ---D | M] (ScrapBook Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\scrapbookplus@addons.mozilla.org [2011.01.05 19:20:40 | 000,000,000 | ---D | M] ("Simple Timer + Clocks") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\simpletimerClocks@grbradt.org [2011.02.04 16:13:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ima65l0d.default\extensions [2011.03.01 14:29:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Sunbird\Profiles\yha4qha5.default\extensions [2011.03.15 00:04:51 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions [2011.02.19 17:14:11 | 000,000,000 | ---D | M] (Java Console) -- D:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2011.02.19 17:13:28 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- D:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.12.03 19:14:08 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.12.03 19:14:08 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.01.19 19:02:35 | 000,000,143 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\foxsearch.src [2010.12.03 19:14:08 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.12.03 19:14:08 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.12.03 19:14:08 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.12.29 12:10:26 | 000,431,168 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 .archivioadulti.com O1 - Hosts: 127.0.0.1 .internet-explorer.name O1 - Hosts: 127.0.0.1 .katasearch.com O1 - Hosts: 127.0.0.1 .preferiti-windows.com O1 - Hosts: 127.0.0.1 .qoogler.com O1 - Hosts: 127.0.0.1 .tuttoavolonta.com O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 123topsearch.com O1 - Hosts: 127.0.0.1 www.123topsearch.com O1 - Hosts: 14843 more lines... O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (&Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O4 - HKLM..\Run: [avast5] D:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software) O4 - HKLM..\Run: [DAEMON Tools-1033] D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Proxomitron.lnk = E:\DOWNLOAD\Utilities\Proxomitron4.51-S-3.3.2\Proxomitron.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 01 00 00 00 [binary data] O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 01 00 00 00 [binary data] O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 01 00 00 00 [binary data] O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.220.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 () - O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.03.02 12:28:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.03.15 01:15:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2011.03.14 17:39:11 | 000,000,000 | ---D | C] -- D:\Programme\Windows Installer Clean Up [2011.03.14 17:38:34 | 000,000,000 | ---D | C] -- D:\Programme\MSECACHE [2011.03.14 15:22:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Systenance [2011.03.14 15:22:20 | 000,000,000 | ---D | C] -- D:\Programme\Index.dat Analyzer [2011.03.12 23:47:37 | 000,000,000 | ---D | C] -- E:\000 Eigene Dateien\Downloads [2011.03.06 15:36:42 | 000,729,088 | ---- | C] (Hewlett-Packard) -- C:\WINDOWS\System32\hpowiax7.dll [2011.03.06 15:36:42 | 000,372,736 | ---- | C] (Hewlett-Packard) -- C:\WINDOWS\System32\hppldcoi.dll [2011.03.06 15:36:41 | 000,581,632 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpotscl6.dll [2011.03.06 15:36:41 | 000,309,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\difxapi.dll [2011.03.06 15:36:41 | 000,303,104 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpovst15.dll [2011.02.23 13:50:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help [2011.02.20 20:22:32 | 000,069,632 | ---- | C] (sTEAKS iNC!) -- C:\WINDOWS\System32\tFade2.scr [2011.02.19 17:16:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2011.02.19 17:13:59 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2011.02.19 17:13:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2011.02.19 17:13:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2011.02.19 17:13:22 | 000,000,000 | ---D | C] -- D:\Programme\Java [2011.02.19 13:13:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime [2011.02.19 13:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple [2011.02.19 12:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe [2011.02.18 14:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\DB Tickets [2011.02.15 18:14:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Plakat-Aufrufe [2008.03.03 21:42:56 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys [2008.03.03 21:42:56 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.03.15 11:04:50 | 000,021,828 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2011.03.15 11:03:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.03.14 21:48:18 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HP dateien.lnk [2011.03.14 19:16:39 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\u64f4pck.exe [2011.03.14 18:35:37 | 000,023,447 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err [2011.03.14 18:20:41 | 000,000,042 | ---- | M] () -- C:\WINDOWS\System32\scud.udf [2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\w3data.vss [2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\msvcsv60.dll [2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\msocreg32.dat [2011.03.11 10:25:53 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.03.10 15:43:16 | 000,002,427 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Excel 2003.lnk [2011.03.10 15:43:07 | 000,002,395 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2003.lnk [2011.03.08 19:55:27 | 000,023,119 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel [2011.02.20 19:48:45 | 000,004,955 | ---- | M] () -- E:\000 Eigene Dateien\000-Augenschonendtheme.Theme [2011.02.20 19:23:37 | 000,007,168 | ---- | M] () -- C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys [2011.02.20 16:20:48 | 000,000,370 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\LAN-Verbindung.lnk [2011.02.19 17:13:27 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2011.02.19 17:13:27 | 000,157,472 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2011.02.19 17:13:27 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2011.02.19 17:13:27 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2011.02.19 17:13:27 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2011.02.19 13:55:18 | 000,000,754 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\JavaRa.exe.lnk [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.03.14 21:48:18 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HP dateien.lnk [2011.03.14 19:16:38 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\u64f4pck.exe [2011.03.14 18:20:41 | 000,000,042 | ---- | C] () -- C:\WINDOWS\System32\scud.udf [2011.03.14 17:39:11 | 000,002,207 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Windows Install Clean Up.lnk [2011.03.08 19:55:27 | 000,023,119 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel [2011.02.20 19:48:45 | 000,004,955 | ---- | C] () -- E:\000 Eigene Dateien\000-Augenschonendtheme.Theme [2011.02.20 16:20:48 | 000,000,370 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\LAN-Verbindung.lnk [2011.02.19 13:55:18 | 000,000,754 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\JavaRa.exe.lnk [2011.02.11 14:12:25 | 000,000,335 | ---- | C] () -- C:\WINDOWS\mozregistry.dat [2011.01.30 13:28:15 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI [2010.12.31 09:35:04 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.12.30 18:40:32 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\msvcsv60.dll [2010.12.30 18:40:32 | 000,000,016 | ---- | C] () -- C:\WINDOWS\msocreg32.dat [2010.12.28 21:48:41 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys [2010.12.01 10:15:03 | 000,187,383 | ---- | C] () -- C:\WINDOWS\hpoins28.dat.temp [2010.12.01 10:15:03 | 000,000,752 | ---- | C] () -- C:\WINDOWS\hpomdl28.dat.temp [2010.06.16 19:35:58 | 000,000,049 | ---- | C] () -- C:\WINDOWS\SamControlpanel95DE.INI [2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_IT.INI [2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_FR.INI [2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_ES.INI [2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95.INI [2010.06.16 19:35:34 | 000,001,073 | ---- | C] () -- C:\WINDOWS\SamControlpanel.INI [2010.05.13 18:38:56 | 000,510,976 | ---- | C] () -- C:\WINDOWS\System32\synsoacc.dll [2009.07.05 18:49:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpqEmlSz.INI [2008.11.04 21:54:54 | 000,019,748 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2008.11.04 21:54:30 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.07.30 11:05:25 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll [2008.06.24 12:06:51 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.04.24 12:20:17 | 000,011,910 | ---- | C] () -- C:\WINDOWS\System32\GENMIDI.DLL [2008.04.24 12:20:03 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\UNDERFLW.DLL [2008.03.17 13:43:52 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.03.05 13:59:10 | 000,000,664 | ---- | C] () -- C:\WINDOWS\Sam9_D.INI [2008.03.05 13:25:33 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2008.03.03 21:24:57 | 000,014,852 | ---- | C] () -- D:\Programme\settings.dat [2008.03.03 15:48:34 | 000,000,354 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI [2008.03.03 13:13:09 | 000,001,607 | ---- | C] () -- C:\WINDOWS\mozver.dat [2008.03.02 18:11:10 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2008.03.02 14:27:18 | 000,000,671 | ---- | C] () -- C:\WINDOWS\sam7_D.INI [2008.03.02 14:25:28 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2008.03.02 12:57:40 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2008.03.02 12:55:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2008.03.02 12:54:40 | 000,006,702 | ---- | C] () -- C:\WINDOWS\System32\drivers\FlashSys.sys [2008.03.02 12:52:39 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll [2008.03.02 12:31:13 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2008.03.02 12:25:36 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2008.03.02 12:19:42 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008.03.02 12:18:37 | 000,153,976 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007.04.18 21:07:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll [2005.02.24 07:32:00 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll [2004.08.02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2002.08.29 02:54:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2001.08.31 23:15:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.08.31 23:15:44 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.08.18 20:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2001.08.18 20:00:00 | 000,475,228 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2001.08.18 20:00:00 | 000,454,936 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2001.08.18 20:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2001.08.18 20:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2001.08.18 20:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2001.08.18 20:00:00 | 000,091,542 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2001.08.18 20:00:00 | 000,075,014 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2001.08.18 20:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2001.08.18 20:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2001.08.18 20:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2001.08.18 20:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat ========== LOP Check ========== [2011.01.04 02:03:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2010.12.29 12:07:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2008.03.03 21:47:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EDIROL [2011.02.10 16:28:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.12.30 14:26:15 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{08BCEE1B-8DEC-401F-989A-111EE3AF2366} [2010.12.30 15:15:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{27FE70E2-0B9D-4C25-8965-A3CAC5D841F4} [2008.11.16 22:57:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} [2010.12.30 14:25:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{51753DAD-2BAB-4BB2-A4AA-CAAEF5AA972B} [2010.12.30 14:25:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{5D4AD7AA-51B3-4EF1-8DBC-4D6CBFF4668D} [2010.12.30 14:31:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{60F5118F-670A-4601-B460-BD2B3A496090} [2010.12.30 14:18:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{699830EE-64F0-4782-AEDE-0FCCC40946BA} [2010.12.30 15:15:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8390519B-1329-4713-98A3-9EC042F86B78} [2010.12.30 14:15:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B5F0C192-874D-49A8-88D7-8431E3714756} [2010.12.30 14:23:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D15CE785-FD15-4860-807A-3B68400084D3} [2010.12.30 14:28:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EB5141A8-9F87-4F90-8A97-BF06CCA83206} [2010.12.30 14:25:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F32D981D-89D0-467F-960D-3B836F636745} [2010.12.30 14:25:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{FB19379B-D540-4A0A-912E-90471688759D} [2010.12.29 12:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe Limited [2011.03.04 23:24:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox [2011.03.14 13:44:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla [2011.03.07 20:24:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0 [2011.03.01 12:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\KompoZer [2011.01.28 17:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LibreOffice [2010.05.13 18:20:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\My Games [2011.01.09 01:24:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Notepad++ [2011.01.09 01:19:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Opera [2008.03.02 19:17:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Steinberg [2008.06.13 20:56:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\streamripper [2011.03.14 15:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Systenance [2010.12.28 19:16:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 152 bytes -> C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys:SummaryInformation @Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84 @Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 < End of report > -----------------------------------------------------OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 15.03.2011 17:04:23 - Run 1 OTL by OldTimer - Version 3.2.22.3 Folder = E:\DOWNLOAD\Utilities\SECURITY Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): F:\pagefile.sys 768 768 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme Drive C: | 14,65 Gb Total Space | 4,47 Gb Free Space | 30,50% Space Free | Partition Type: NTFS Drive D: | 14,65 Gb Total Space | 1,25 Gb Free Space | 8,56% Space Free | Partition Type: NTFS Drive E: | 24,41 Gb Total Space | 2,36 Gb Free Space | 9,68% Space Free | Partition Type: NTFS Drive F: | 22,98 Gb Total Space | 3,35 Gb Free Space | 14,60% Space Free | Partition Type: NTFS Drive H: | 363,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive J: | 533,75 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: HAL9000 | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .html [@ = Opera.HTML] -- D:\Programme\Opera\Opera.exe (Opera Software) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. http [open] -- "D:\Programme\Opera\Opera.exe" "%1" (Opera Software) https [open] -- "D:\Programme\Opera\Opera.exe" "%1" (Opera Software) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify" = 1 "FirewallDisableNotify" = 1 "UpdatesDisableNotify" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG) "D:\Programme\Opera\opera.exe" = D:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software) "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{086BADF8-9B1F-4E89-B207-2EDA520972D6}" = Grand Theft Auto San Andreas "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center "{0E086923-AAA3-4F98-A6E2-48B64CE27553}" = Native Instruments Reaktor Factory Selection "{1007CD51-03AB-4C19-B4F6-CD76F43222BC}" = Native Instruments Best of Absynth "{10592681-B6D2-4C96-9D92-2371190C4EE4}" = Hercules 1612FW - Benutzerhandbuch "{121634B0-2F4B-11D3-ADA3-00C04F52DD52}" = Windows Installer Clean Up "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 24 "{26B46206-DF80-4DA2-AEAB-FF146320C344}" = CodeMeter Runtime Kit v4.01 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{388E2B4E-31C3-4620-95AF-FE3EFEE9C662}" = Native Instruments Best of Massive "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools "{43E7798A-248E-4A3D-9969-FEA63543A462}" = Native Instruments Kontakt 4 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4B35F00C-E63D-40DC-9839-DF15A33EAC46}" = Grand Theft Auto Vice City "{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0 "{7604A79D-245D-45BB-AFBB-975DE69FFF80}" = Digidesign M-Audio Keyboard Personality 8.0 "{77832A71-8657-46D1-89BC-630243926C9A}" = Orchestral VST "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{8A7E941F-2BB4-47D0-B732-8AE5F3513B68}" = ASAPI "{8C04CE01-F7B8-4961-884B-6CE7EFFADCD4}" = Native Instruments Reaktor Spark R2 "{8CCA4800-152A-4C51-8569-5803FBD67CC9}" = LibreOffice 3.3 "{8F03D312-383B-4EFD-A0A5-E6AD6B19DA49}" = Hercules 16/12 FW drivers "{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A8AD990E-355A-4413-8647-A9B168978423}_is1" = UltraVNC v1.0.1 "{AB85EE3E-1791-4A85-BD60-CD1349ECBD6C}" = Samplitude 11 "{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch "{ac7cd50e-f117-4eb4-87ff-a8cbec0dcbbc}" = Native Instruments Kontakt Elements Selection "{B0FC9E28-1CE6-4A40-BEF1-C6E6EDFCA070}" = Native Instruments Kontakt Factory Selection "{BA0D0121-A3BA-487D-9C78-7AB0E676C722}" = Miroslav Philharmonik "{BFD080F6-3BF0-40E1-9507-9CA969C35870}" = Sunbelt Personal Firewall "{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser "{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack "{C978F5A7-5E75-4DBD-BFD7-A0488E8EFF9E}" = FileMaker Pro 8.5 Advanced "{D05011B7-C50B-4E5C-9468-12BF462D8339}" = Native Instruments Komplete 7 Elements "{D94FCA8D-A8B6-4F03-B0AE-416BFB7AF06A}" = Native Instruments Reaktor Elements Selection "{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}" = iTunes "{E236DA46-2EDD-4097-8CF4-444B4FC9E226}" = Native Instruments Abbey Road 60s Drums Vintage "{E80B34EE-F3E5-4F60-AE89-FF0D717554A2}" = EZdrummer Lite Installer "{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support "{F5346614-B7C4-4E94-826A-E2363155233D}" = EasyCleaner "{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{FF600C37-6328-4348-A67A-3F85D8039604}" = Native Instruments Kore Player "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "ASIO4ALL" = ASIO4ALL "AudioCon" = AudioCon "Autoplay Repair" = Autoplay Repair 2.2.2 "avast5" = avast! Free Antivirus "DreamStation DXi2" = DreamStation DXi2 "DVS Guitar_is1" = DVS Guitar v1.05a "Emagic EVP73 VSTi v1.0" = Emagic EVP73 VSTi v1.0 "Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner "FL Studio 7" = FL Studio 7 "Happyland Adventures - Xmas Edition_is1" = Happyland Adventures - Xmas Edition v1.3 "ie8" = Windows Internet Explorer 8 "IL Download Manager" = IL Download Manager "Index.dat Analyzer_is1" = Index.dat Analyzer v2.5 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack "MozBackup_is1" = MozBackup 1.4.7 "Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15) "Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9) "MSI Live Update 3" = MSI Live Update 3 "Native Instruments Abbey Road 60s Drums Vintage" = Native Instruments Abbey Road 60s Drums Vintage "Native Instruments B4 v1.11" = Native Instruments B4 v1.11 "Native Instruments Battery v1.0" = Native Instruments Battery v1.0 "Native Instruments Best of Absynth" = Native Instruments Best of Absynth "Native Instruments Best of Massive" = Native Instruments Best of Massive "Native Instruments Guitar Rig v1.1.2" = Native Instruments Guitar Rig v1.1.2 "Native Instruments Komplete 7 Elements" = Native Instruments Komplete 7 Elements "Native Instruments Kontakt 4" = Native Instruments Kontakt 4 "Native Instruments Kontakt Elements Selection" = Native Instruments Kontakt Elements Selection "Native Instruments Kontakt Factory Selection" = Native Instruments Kontakt Factory Selection "Native Instruments Kore Player" = Native Instruments Kore Player "Native Instruments Pro-52 v2.0-OxYGeN" = Native Instruments Pro-52 v2.0-OxYGeN "Native Instruments Reaktor Elements Selection" = Native Instruments Reaktor Elements Selection "Native Instruments Reaktor Factory Selection" = Native Instruments Reaktor Factory Selection "Native Instruments Reaktor Spark R2" = Native Instruments Reaktor Spark R2 "Native Instruments Service Center" = Native Instruments Service Center "Notepad++" = Notepad++ "NVIDIA Drivers" = NVIDIA Drivers "Opera 11.01.1190" = Opera 11.01 "Picasa2" = Picasa 2 "RealAlt_is1" = Real Alternative 1.9.0 "Samplitude FX D" = Samplitude FX 1.0.0.0 (D) "SCREEN2EXE_is1" = SCREEN2EXE 3.1 (build:2425) "secretmaryo" = Secret Maryo Chronicles "Steinberg Nuendo v2.2.0.33" = Steinberg Nuendo v2.2.0.33 "Streamripper" = Streamripper (Remove only) "SuperTux_is1" = SuperTux 0.1.3 "Tweak UI 2.10" = Tweak UI "VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program "VLC media player" = VLC media player 1.1.5 "WIC" = Windows Imaging Component "Winamp" = Winamp "Windows XP Service Pack" = Windows XP Service Pack 2 "WinGimp-2.0_is1" = GIMP 2.6.11 "WinRAR archiver" = WinRAR "xp-AntiSpy" = xp-AntiSpy 3.96-7 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Dropbox" = Dropbox "FileZilla Client" = FileZilla Client 3.0.11 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 14.03.2011 12:40:07 | Computer Name = HAL9000 | Source = VBRuntime | ID = 1 Description = The VB Application identified by the event source logged this Application MSICUU: Thread ID: 3612 ,Logged: Failed: D:\Programme\Windows Installer Clean Up\msizap.exe TW! {2614F54E-A828-49FA-93BA-45A3F756BFAA} Error - 14.03.2011 12:40:10 | Computer Name = HAL9000 | Source = VBRuntime | ID = 1 Description = The VB Application identified by the event source logged this Application MSICUU: Thread ID: 3612 ,Logged: Failed: D:\Programme\Windows Installer Clean Up\msizap.exe TW! {BE8A9C2C-8E41-445B-A746-BEB0B1F992F8} < End of report > ------------------------------------------------------ 3) Der PC geht in 2 Tagen komplett vom Netz. Windows wird von mir dann mal neu aufgesetzt und sp3 auch installiert... ;-)
__________________ |
15.03.2011, 18:31 | #4 |
| Unbekannter Windows Dienst "WWY" Hallo, hier ist auch noch ein GMER-Log... GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit quick scan 2011-03-14 19:18:59 Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HDS728080PLAT20 rev.PF2OA21B Running: u64f4pck.exe; Driver: F:\000TEM~1\fwldipoc.sys ---- System - GMER 1.0.15 ---- SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF75B22A8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF75BD910] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xB89B8652] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject ---- Devices - GMER 1.0.15 ---- Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 895ACD48 Device \Driver\atapi \Device\Ide\IdePort0 895ACD48 Device \Driver\atapi \Device\Ide\IdePort1 895ACD48 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 895ACD48 Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 894EAD68 Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target1Lun0 894EAD68 Device \Driver\d347prt \Device\Scsi\d347prt1 894EAD68 Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software) Device \FileSystem\Ntfs \Ntfs 8984FCB8 AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) AttachedDevice \Driver\Tcpip \Device\Ip 894A2538 AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) AttachedDevice \Driver\Tcpip \Device\Tcp 894A2538 AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) AttachedDevice \Driver\Tcpip \Device\Udp 894A2538 AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) AttachedDevice \Driver\Tcpip \Device\RawIp 894A2538 AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) ---- Modules - GMER 1.0.15 ---- Module _________ F7473000-F748B000 (98304 bytes) ---- EOF - GMER 1.0.15 ----
__________________ WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW |
15.03.2011, 21:16 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Unbekannter Windows Dienst "WWY"Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
16.03.2011, 15:19 | #6 |
| Unbekannter Windows Dienst "WWY" Ähem... das war ja klar ;-) Aber vielleicht sei noch die Frage gestattet, ob jemandem schon mal der Dienst WWY untergekommen ist. Habe beim Googlen nichts finden können. Außerdem habe ich vor noch einiges von den Audio- und Textdateien, die auf meiner Platte liegen, rüberzuretten bevor ich alles formatiere. Es wäre von daher gut zu wissen, ob die Daten "sauber" sind. Ich bin ab morgen für 14 Tage auf Montage und kann mich des Themas nicht weiter annehmen. Aber vielleicht kann mir heute noch jemand Klarheit darüber verschaffen, ob mein System kompromittiert wurde. Also, für Antworten wäre ich in jedem Falle dankbar... Grüße - GoRilla42
__________________ --> Unbekannter Windows Dienst "WWY" |
16.03.2011, 15:24 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Unbekannter Windows Dienst "WWY" Den Dienst kenn ich nicht. Auch Google spuckt nichts Brauchbares aus. Möglich dass der durch Malware kam. Es kann aber sein, dass bestimmte Rootkitscanner den angelegt haben (random name). Hattest du auf dieser Windows-Installation denn schonmal Malwarefunde? Oder Rootkitscanner o.ä. installiert?
__________________ Logfiles bitte immer in CODE-Tags posten |
16.03.2011, 16:05 | #8 |
| Unbekannter Windows Dienst "WWY" Stimmt, jetzt wo Du es erwähnst... Ich hatte mal den Rootkitrevealer laufen, aber bin nicht fit genug mit den Scan-Ergebnissen etwas anzufangen. Malwarebytes hatte am 17.01. folgendes gefunden: -- alwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5537 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 17.01.2011 14:56:22 mbam-log-2011-01-17 (14-56-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 175854 Laufzeit: 18 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) -- Beim Nachlesen in diversen Foren, habe ich dann allerdings gelesen, daß eventuell das Programm "autoruns" für den Alarm von Malwarebytes der Auslöser gewesen sein könnte. Habe mit Autoruns mal rumexperimentiert und diverse Autostarts deaktiviert... ------------------------------------------------------- In der letzten Zeit hatte ich ständig Probleme mit meinem HP-Drucker - druckte nicht richtig, dann plötzlich keine Scans mehr möglich. Habe daraufhin versucht alles von HP zu entfernen, was sich allerdings als recht schwierig erwiesen hat. Auch mit einem Tool von HP (gr_uninstall.exe), das angeblich alle Reste der HP-Software entfernen sollte, blieben jede Menge Einträge/Dienste zurück. Habe daraufhin mit Windows Installer Cleanup Utility die letzten HP-Software-Einträge entfernt. Jetzt sind aber immer noch HP-Dienste vorhanden (von mir allerdings deaktiviert): -HP CUE DeviceDiscovery Service -hpqcxs08 -Net Driver HPZ12 -Pml Driver HPZ12 Aber das ist wohl ein anderes Thema und gehört vielleicht in einen gesonderten Thread...
__________________ WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW |
16.03.2011, 16:18 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Unbekannter Windows Dienst "WWY" Gut möglich, dass der RootkitRevealer den Dienst erzeugt und nicht komplett gelöscht hat. Ich weiß, dass der solche Dienste mit zufälligen Namen erzeugt.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.03.2011, 16:53 | #10 |
| Unbekannter Windows Dienst "WWY" Hallo Arne, Na dann vertrau ich mal darauf, daß es der Rootkitscanner war. Hast ja recht, was soll man sich jetzt noch mit der Analyse rumschlagen. Werde das System sowieso neu Aufsetzen und dann mit sp3, windowsfirewall etc. und ansonsten immer brav die Updates ziehen. Ich danke Dir für die Hilfe. :-) Grüße GoRilla42
__________________ WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW |
Themen zu Unbekannter Windows Dienst "WWY" |
avast, bekannter, compu, computer, dienst, eingefangen, entdeck, entdeckt, gefangen, informationen, malwarebytes, nichts, runde, unbekannter, weiteren, windows, windows dienst, winxp, zicken |