| |
| |||||||
Log-Analyse und Auswertung: TR/Kazy.mekml.1Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.04.2011, 16:23
| #1 |
| |  TR/Kazy.mekml.1 Hi Habe mir schon ein paar Beiträge über diesen Virus durchgelesen und kann jetzt behaupten das ich ihn auch habe !! Würde mich echt sehr freuen wenn wir das schnell hin bekommen weil es mein Arbeitscomputer ist ! Danke schon mal für die Mühe und frohe ostern  OTL Logfile:Code:
ATTFilter OTL logfile created on: 21.04.2011 17:07:01 - Run 1 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.015,00 Mb Total Physical Memory | 428,00 Mb Available Physical Memory | 42,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 335,34 Gb Total Space | 285,98 Gb Free Space | 85,28% Space Free | Partition Type: NTFS Computer Name: KLUMPS | User Name: Klumps1 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.04.21 17:06:05 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe PRC - [2011.04.21 16:57:58 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe PRC - [2011.04.21 13:21:27 | 000,569,344 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe PRC - [2011.03.17 09:14:01 | 000,269,480 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.11.15 09:24:37 | 000,135,336 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.15 09:24:36 | 000,281,768 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.09.21 20:37:40 | 000,932,288 | -H-- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe PRC - [2010.01.14 21:10:53 | 000,076,968 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.01.31 15:01:38 | 000,159,744 | RH-- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcMon.exe PRC - [2006.02.28 14:00:00 | 001,035,264 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2011.04.21 17:06:05 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe MOD - [2006.02.28 14:00:00 | 001,050,624 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - [2011.03.30 22:20:16 | 003,229,784 | -H-- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_a35e6b9.dll -- (Akamai) SRV - [2011.03.17 09:14:01 | 000,269,480 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.11.15 09:24:37 | 000,135,336 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.02.19 14:37:14 | 000,517,096 | -H-- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard) SRV - [2006.10.26 19:49:34 | 000,441,136 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2006.10.26 14:03:08 | 000,145,184 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - [2011.03.17 09:14:01 | 000,137,656 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.11.24 09:53:33 | 000,061,960 | -H-- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.12.25 18:26:30 | 006,039,584 | -H-- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2009.11.18 07:17:00 | 001,395,800 | -H-- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009.11.18 07:16:00 | 001,691,480 | -H-- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2009.05.11 11:49:19 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.05.11 09:12:49 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2007.10.17 20:12:00 | 000,030,720 | -H-- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.04.07 13:20:56 | 000,000,000 | -H-D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.28 12:03:39 | 000,000,000 | -H-D | M] [2010.06.15 18:34:43 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Mozilla\Extensions [2011.04.20 14:12:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Mozilla\Firefox\Profiles\21a6n5rk.default\extensions [2011.03.07 09:19:18 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Mozilla\Firefox\Profiles\21a6n5rk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.04.20 14:12:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.06.18 07:46:58 | 000,001,392 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.06.18 07:46:58 | 000,002,344 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.06.18 07:46:58 | 000,006,805 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.06.18 07:46:58 | 000,001,178 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.06.18 07:46:58 | 000,001,105 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated) O4 - HKCU..\Run: [MRtPNAFMRSnT] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe (WinTrust) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 157 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.07.10 09:42:28 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.04.21 17:07:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Recent [2011.04.21 17:05:59 | 000,580,608 | -H-- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe [2011.04.21 16:53:32 | 000,580,608 | -H-- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Desktop\OTL.exe [2011.04.21 16:30:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\NtmsData [2011.04.21 16:25:05 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Startmenü\Programme\Windows Recovery [2011.04.21 13:31:27 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Avira [2011.04.21 13:21:28 | 000,569,344 | -H-- | C] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe [2011.04.11 19:06:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\elsterformular [2011.04.11 19:05:52 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\ElsterFormular [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.04.21 17:06:05 | 000,580,608 | -H-- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe [2011.04.21 17:02:06 | 000,000,260 | -H-- | M] () -- C:\WINDOWS\tasks\WGASetup.job [2011.04.21 16:58:06 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r [2011.04.21 16:58:06 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852 [2011.04.21 16:57:58 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe [2011.04.21 16:57:53 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2011.04.21 16:57:51 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.04.21 16:56:54 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\NTUSER.DAT [2011.04.21 16:56:54 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Klumps1\ntuser.ini [2011.04.21 16:56:36 | 006,402,438 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2011.04.21 16:53:34 | 000,580,608 | -H-- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Desktop\OTL.exe [2011.04.21 16:36:03 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852 [2011.04.21 16:29:32 | 000,448,800 | -H-- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.04.21 16:29:32 | 000,432,492 | -H-- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.04.21 16:29:32 | 000,080,108 | -H-- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.04.21 16:29:32 | 000,067,448 | -H-- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.04.21 16:29:31 | 001,042,054 | -H-- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2011.04.21 16:25:07 | 000,000,873 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk [2011.04.21 16:25:07 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r [2011.04.21 16:25:07 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428 [2011.04.21 16:25:02 | 000,068,920 | -H-- | M] () -- C:\WINDOWS\System32\GDIPFONTCACHEV1.DAT [2011.04.21 16:25:01 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428 [2011.04.21 13:21:27 | 000,569,344 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe [2011.04.20 22:48:15 | 003,567,536 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.04.20 14:12:51 | 006,576,037 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\VR-Netze_GB2010_19042011.pdf [2011.04.17 16:47:18 | 000,013,646 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.04.14 16:03:59 | 000,068,920 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2011.04.14 09:43:21 | 000,461,069 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00001.pdf [2011.04.14 09:40:58 | 000,460,410 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00000.pdf [2011.04.11 19:13:01 | 000,018,780 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\UStVA2011__I._Quartal_Brigitte_Klumps.elfo [2011.04.11 19:05:53 | 000,000,711 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ElsterFormular.lnk [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.04.21 16:58:06 | 000,000,120 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r [2011.04.21 16:58:06 | 000,000,104 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852 [2011.04.21 16:57:58 | 000,487,424 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe [2011.04.21 16:36:03 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852 [2011.04.21 16:25:07 | 000,000,873 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk [2011.04.21 16:25:07 | 000,000,120 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r [2011.04.21 16:25:06 | 000,000,104 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428 [2011.04.21 16:25:02 | 000,068,920 | -H-- | C] () -- C:\WINDOWS\System32\GDIPFONTCACHEV1.DAT [2011.04.21 16:25:01 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428 [2011.04.20 14:12:50 | 006,576,037 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\VR-Netze_GB2010_19042011.pdf [2011.04.14 09:43:20 | 000,461,069 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00001.pdf [2011.04.14 09:40:58 | 000,460,410 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00000.pdf [2011.04.11 19:12:50 | 000,018,780 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\UStVA2011__I._Quartal_Brigitte_Klumps.elfo [2011.04.11 19:05:53 | 000,000,711 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ElsterFormular.lnk [2011.01.26 19:32:41 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010.11.04 10:44:39 | 000,000,116 | -H-- | C] () -- C:\WINDOWS\NeroDigital.ini [2010.06.16 09:57:02 | 000,000,722 | -H-- | C] () -- C:\WINDOWS\Brpfx04a.ini [2010.06.16 09:57:02 | 000,000,093 | -H-- | C] () -- C:\WINDOWS\brpcfx.ini [2010.06.16 09:55:33 | 000,000,099 | -H-- | C] () -- C:\WINDOWS\Brfaxrx.ini [2010.06.16 09:55:33 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\brdfxspd.dat [2010.06.16 09:55:32 | 000,106,496 | -H-- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll [2010.06.16 09:53:12 | 000,031,664 | -H-- | C] () -- C:\WINDOWS\maxlink.ini [2010.06.16 09:49:57 | 000,000,416 | -H-- | C] () -- C:\WINDOWS\BRWMARK.INI [2010.06.16 09:49:57 | 000,000,065 | -H-- | C] () -- C:\WINDOWS\System32\BD7320.DAT [2010.06.16 09:49:48 | 000,000,114 | -H-- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI [2010.06.15 18:42:36 | 000,111,104 | -H-- | C] () -- C:\WINDOWS\System32\uha.exe [2010.06.15 18:41:55 | 000,147,456 | -H-- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll [2010.06.15 18:18:29 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat [2010.06.15 15:24:34 | 000,147,456 | -H-- | C] () -- C:\WINDOWS\System32\igfxCoIn_v1587.dll [2010.06.15 14:26:03 | 006,402,438 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.06.15 12:22:01 | 001,042,054 | -H-- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.06.15 12:22:00 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI [2010.06.15 12:20:41 | 003,567,536 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.06.15 11:50:54 | 000,068,920 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.06.15 11:42:03 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2010.06.15 11:39:22 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\control.ini [2010.06.15 11:38:22 | 000,000,488 | RH-- | C] () -- C:\WINDOWS\System32\logonui.exe.manifest [2010.06.15 11:38:15 | 000,000,749 | RH-- | C] () -- C:\WINDOWS\System32\cdplayer.exe.manifest [2010.06.15 11:36:25 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2010.06.15 11:36:17 | 000,000,037 | -H-- | C] () -- C:\WINDOWS\vbaddin.ini [2010.06.15 11:36:17 | 000,000,036 | -H-- | C] () -- C:\WINDOWS\vb.ini [2010.06.15 11:35:40 | 000,027,055 | -H-- | C] () -- C:\WINDOWS\System32\tslabels.ini [2010.06.15 11:35:38 | 000,003,999 | -H-- | C] () -- C:\WINDOWS\System32\msdtcprf.ini [2006.02.28 14:00:00 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin [2006.02.28 14:00:00 | 001,015,477 | -H-- | C] () -- C:\WINDOWS\System32\esentprf.ini [2006.02.28 14:00:00 | 000,733,696 | -H-- | C] () -- C:\WINDOWS\System32\qedwipes.dll [2006.02.28 14:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat [2006.02.28 14:00:00 | 000,448,800 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006.02.28 14:00:00 | 000,432,492 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006.02.28 14:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat [2006.02.28 14:00:00 | 000,270,848 | -H-- | C] () -- C:\WINDOWS\System32\sbe.dll [2006.02.28 14:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat [2006.02.28 14:00:00 | 000,253,440 | -H-- | C] () -- C:\WINDOWS\System32\compatUI.dll [2006.02.28 14:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat [2006.02.28 14:00:00 | 000,199,168 | -H-- | C] () -- C:\WINDOWS\System32\ir32_32.dll [2006.02.28 14:00:00 | 000,186,368 | -H-- | C] () -- C:\WINDOWS\System32\encdec.dll [2006.02.28 14:00:00 | 000,094,282 | -H-- | C] () -- C:\WINDOWS\System32\msencode.dll [2006.02.28 14:00:00 | 000,080,108 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006.02.28 14:00:00 | 000,071,022 | -H-- | C] () -- C:\WINDOWS\System32\edit.com [2006.02.28 14:00:00 | 000,070,656 | -H-- | C] () -- C:\WINDOWS\System32\amstream.dll [2006.02.28 14:00:00 | 000,067,448 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006.02.28 14:00:00 | 000,054,128 | -H-- | C] () -- C:\WINDOWS\System32\dosx.exe [2006.02.28 14:00:00 | 000,053,478 | -H-- | C] () -- C:\WINDOWS\System32\tcpmon.ini [2006.02.28 14:00:00 | 000,052,777 | -H-- | C] () -- C:\WINDOWS\System32\command.com [2006.02.28 14:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin [2006.02.28 14:00:00 | 000,042,809 | -H-- | C] () -- C:\WINDOWS\System32\key01.sys [2006.02.28 14:00:00 | 000,042,537 | -H-- | C] () -- C:\WINDOWS\System32\keyboard.sys [2006.02.28 14:00:00 | 000,039,546 | -H-- | C] () -- C:\WINDOWS\System32\mem.exe [2006.02.28 14:00:00 | 000,035,648 | -H-- | C] () -- C:\WINDOWS\System32\ntio411.sys [2006.02.28 14:00:00 | 000,035,424 | -H-- | C] () -- C:\WINDOWS\System32\ntio412.sys [2006.02.28 14:00:00 | 000,034,560 | -H-- | C] () -- C:\WINDOWS\System32\ntio804.sys [2006.02.28 14:00:00 | 000,034,560 | -H-- | C] () -- C:\WINDOWS\System32\ntio404.sys [2006.02.28 14:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat [2006.02.28 14:00:00 | 000,034,032 | -H-- | C] () -- C:\WINDOWS\System32\ntio.sys [2006.02.28 14:00:00 | 000,029,370 | -H-- | C] () -- C:\WINDOWS\System32\ntdos411.sys [2006.02.28 14:00:00 | 000,029,274 | -H-- | C] () -- C:\WINDOWS\System32\ntdos412.sys [2006.02.28 14:00:00 | 000,029,146 | -H-- | C] () -- C:\WINDOWS\System32\ntdos804.sys [2006.02.28 14:00:00 | 000,029,146 | -H-- | C] () -- C:\WINDOWS\System32\ntdos404.sys [2006.02.28 14:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat [2006.02.28 14:00:00 | 000,027,914 | -H-- | C] () -- C:\WINDOWS\System32\ntdos.sys [2006.02.28 14:00:00 | 000,027,440 | -H-- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys [2006.02.28 14:00:00 | 000,027,097 | -H-- | C] () -- C:\WINDOWS\System32\country.sys [2006.02.28 14:00:00 | 000,021,542 | -H-- | C] () -- C:\WINDOWS\System32\mqperf.ini [2006.02.28 14:00:00 | 000,021,210 | -H-- | C] () -- C:\WINDOWS\System32\debug.exe [2006.02.28 14:00:00 | 000,019,726 | -H-- | C] () -- C:\WINDOWS\System32\graphics.com [2006.02.28 14:00:00 | 000,017,241 | -H-- | C] () -- C:\WINDOWS\System32\rsvp.ini [2006.02.28 14:00:00 | 000,015,360 | -H-- | C] () -- C:\WINDOWS\System32\tsd32.dll [2006.02.28 14:00:00 | 000,014,816 | -H-- | C] () -- C:\WINDOWS\System32\kb16.com [2006.02.28 14:00:00 | 000,014,336 | -H-- | C] () -- C:\WINDOWS\System32\msdmo.dll [2006.02.28 14:00:00 | 000,014,060 | -H-- | C] () -- C:\WINDOWS\System32\pschdprf.ini [2006.02.28 14:00:00 | 000,013,312 | -H-- | C] () -- C:\WINDOWS\System32\win87em.dll [2006.02.28 14:00:00 | 000,013,026 | -H-- | C] () -- C:\WINDOWS\System32\edlin.exe [2006.02.28 14:00:00 | 000,012,610 | -H-- | C] () -- C:\WINDOWS\System32\append.exe [2006.02.28 14:00:00 | 000,011,903 | -H-- | C] () -- C:\WINDOWS\System32\setver.exe [2006.02.28 14:00:00 | 000,010,240 | -H-- | C] () -- C:\WINDOWS\System32\scriptpw.dll [2006.02.28 14:00:00 | 000,009,032 | -H-- | C] () -- C:\WINDOWS\System32\ansi.sys [2006.02.28 14:00:00 | 000,008,584 | -H-- | C] () -- C:\WINDOWS\System32\exe2bin.exe [2006.02.28 14:00:00 | 000,007,084 | -H-- | C] () -- C:\WINDOWS\System32\nlsfunc.exe [2006.02.28 14:00:00 | 000,006,287 | -H-- | C] () -- C:\WINDOWS\System32\rasctrs.ini [2006.02.28 14:00:00 | 000,004,992 | -H-- | C] () -- C:\WINDOWS\System32\himem.sys [2006.02.28 14:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat [2006.02.28 14:00:00 | 000,004,461 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat [2006.02.28 14:00:00 | 000,004,438 | -H-- | C] () -- C:\WINDOWS\System32\perfci.ini [2006.02.28 14:00:00 | 000,004,233 | -H-- | C] () -- C:\WINDOWS\System32\perfwci.ini [2006.02.28 14:00:00 | 000,003,358 | -H-- | C] () -- C:\WINDOWS\System32\redir.exe [2006.02.28 14:00:00 | 000,003,262 | -H-- | C] () -- C:\WINDOWS\System32\nw16.exe [2006.02.28 14:00:00 | 000,002,656 | -H-- | C] () -- C:\WINDOWS\System32\netware.drv [2006.02.28 14:00:00 | 000,001,788 | -H-- | C] () -- C:\WINDOWS\System32\Dcache.bin [2006.02.28 14:00:00 | 000,001,783 | -H-- | C] () -- C:\WINDOWS\System32\perffilt.ini [2006.02.28 14:00:00 | 000,001,405 | -H-- | C] () -- C:\WINDOWS\msdfmap.ini [2006.02.28 14:00:00 | 000,001,273 | -H-- | C] () -- C:\WINDOWS\System32\loadfix.com [2006.02.28 14:00:00 | 000,001,157 | -H-- | C] () -- C:\WINDOWS\System32\vwipxspx.exe [2006.02.28 14:00:00 | 000,000,882 | -H-- | C] () -- C:\WINDOWS\System32\share.exe [2006.02.28 14:00:00 | 000,000,882 | -H-- | C] () -- C:\WINDOWS\System32\fastopen.exe [2006.02.28 14:00:00 | 000,000,817 | -H-- | C] () -- C:\WINDOWS\System32\mscdexnt.exe [2006.02.28 14:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat [2006.02.28 14:00:00 | 000,000,552 | -H-- | C] () -- C:\WINDOWS\win.ini [2006.02.28 14:00:00 | 000,000,369 | -H-- | C] () -- C:\WINDOWS\System32\prodspec.ini [2006.02.28 14:00:00 | 000,000,231 | -H-- | C] () -- C:\WINDOWS\system.ini [2001.08.18 06:54:50 | 000,057,856 | -H-- | C] () -- C:\WINDOWS\System32\dvdplay.exe [2001.08.18 06:54:08 | 000,157,696 | -H-- | C] () -- C:\WINDOWS\System32\paqsp.dll ========== LOP Check ========== [2011.04.11 19:06:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\elsterformular [2010.11.01 20:26:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe [2010.06.16 09:53:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft [2010.06.15 21:21:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online [2011.04.11 19:06:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\elsterformular [2010.06.16 14:41:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\PC-FAX TX [2010.06.15 21:26:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\T-Online [2011.04.21 17:02:06 | 000,000,260 | -H-- | M] () -- C:\WINDOWS\Tasks\WGASetup.job ========== Purity Check ========== < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 21.04.2011 17:07:01 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.015,00 Mb Total Physical Memory | 428,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 335,34 Gb Total Space | 285,98 Gb Free Space | 85,28% Space Free | Partition Type: NTFS
Computer Name: KLUMPS | User Name: Klumps1 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Bridge] -- C:\Programme\Adobe\Adobe Bridge CS5\Bridge.exe "%L" (Adobe Systems, Inc.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1038:TCP" = 1038:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0A755762-EED8-47AB-A446-505766F93D43}" = Atheros Communications Inc.(R) L2 Fast Ethernet Driver
"{0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}" = Adobe Community Help
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{15FEDA5F-141C-4127-8D7E-B962D1742728}" = Adobe Photoshop CS5
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2BC2781A-F7F6-452E-95EB-018A522F1B2C}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{46E1B1F2-A279-4356-9B17-029F9CC72EAE}" = Brother MFL-Pro Suite
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7A8FF745-BBC5-482B-88E4-18D3178249A9}" = ScanSoft PaperPort 11
"{8E9DB7EF-5DD3-499E-BA2A-A1F3153A4DF8}" = Adobe Flash Player 9 ActiveX
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A78FE97A-C0C8-49CE-89D0-EDD524A17392}" = PDF Settings CS5
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{BF1EC9C0-9C10-11DF-BBC7-005056C00008}" = Google Earth
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DE3A9DC5-9A5D-6485-9662-347162C7E4CA}" = Adobe Media Player
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Akamai" = Akamai NetSession Interface
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"ElsterFormular für Unternehmer 12.1.1.6214u" = ElsterFormular für Unternehmer
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Fahren Lernen_is1" = Fahren Lernen 1.0
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"WIC" = Windows Imaging Component
========== Last 10 Event Log Errors ==========
Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!
< End of report >
|
|
21.04.2011, 16:42
| #2 |
| /// Malware-holic   | TR/Kazy.mekml.1 • Starte bitte die OTL.exe
__________________• Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [MRtPNAFMRSnT] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe (WinTrust) [2011.04.21 16:58:06 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r [2011.04.21 16:58:06 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852 [2011.04.21 16:57:58 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe [2011.04.21 16:25:07 | 000,000,873 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk [2011.04.21 16:25:07 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r [2011.04.21 16:25:07 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428 [2011.04.21 16:25:01 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428 [2011.04.21 13:21:27 | 000,569,344 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe :Files C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.e C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe C:\Dokumente und Einstellungen\Klumps1\Startmenü\Programme\Windows Recovery :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. das archiv nach anleitung hochladen: http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
|
21.04.2011, 18:28
| #3 |
| | TR/Kazy.mekml.1 All processes killed
__________________========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MRtPNAFMRSnT deleted successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe moved successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r moved successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852 moved successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe moved successfully. C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk moved successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r moved successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428 moved successfully. C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428 moved successfully. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe not found. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.e not found. File\Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe not found. C:\Dokumente und Einstellungen\Klumps1\Startmenü\Programme\Windows Recovery folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 233362 bytes User: All Users User: All Users.WINDOWS User: Default User User: Default User.WINDOWS ->Flash cache emptied: 41620 bytes User: Klumps1 ->Flash cache emptied: 13715 bytes User: LocalService User: LocalService.NT-AUTORITÄT User: NetworkService User: NetworkService.NT-AUTORITÄT Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 2078363759 bytes ->Temporary Internet Files folder emptied: 90611072 bytes ->Java cache emptied: 39572733 bytes ->FireFox cache emptied: 35874971 bytes ->Flash cache emptied: 0 bytes User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Klumps1 ->Temp folder emptied: 276681733 bytes ->Temporary Internet Files folder emptied: 105442658 bytes ->FireFox cache emptied: 110067709 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33237 bytes User: NetworkService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2129337 bytes %systemroot%\System32 .tmp files removed: 1046753 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 115667998 bytes RecycleBin emptied: 527758835 bytes Total Files Cleaned = 3.227,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04212011_192259 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9Q7KXUJ\CAE9CFK7.html%23post643953&fu=0&ifi=1&dtd=31 moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9Q7KXUJ\CAM7K16L.de%2Fsearch%3Fhl%3Dde%26source%3Dhp%26q%3Dotl%26meta%3D%26aq%3Df%26aqi%3D%26aql%3D%26oq%3D&fu=0&ifi=1&dtd=16 moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9Q7KXUJ\s=UA-358053-5&u_tz=120&u_his=0&u_java=1&u_h=900&u_w=1440&u_ah=866&u_aw=1440&u_cd=32&u_nplug=0&u_nmime=0&biw=1131&bih=516&eid=33895132&fu=0&ifi=1&dtd=281 moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9LQF49YN\NGHourCount[2].htm moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X23CX2F\54791-anleitung-uploadchannel-trojaner-board[1].html moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X23CX2F\85104-otl-otlogfile-oldtimer[1].html moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HQ3C5UF\CAYNC7V8.de%2Fsearch%3Fhl%3Dde%26source%3Dhp%26q%3Dotl%26meta%3D%26aq%3Df%26aqi%3D%26aql%3D%26oq%3D&fu=0&ifi=2&dtd=31 moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HQ3C5UF\content&site=freemail&category=mail&special=top&adsize=468x60&content=webde&pageview=ng_outer&adsize=728x90&pageview=logged in&pageview=no_tprof&[1].htm moved successfully. C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HQ3C5UF\s=UA-358053-5&u_tz=120&u_his=0&u_java=1&u_h=900&u_w=1440&u_ah=866&u_aw=1440&u_cd=32&u_nplug=0&u_nmime=0&biw=1131&bih=516&eid=33895132&fu=0&ifi=2&dtd=250 moved successfully. File\Folder C:\WINDOWS\temp\Perflib_Perfdata_614.dat not found! Registry entries deleted on Reboot... |
|
21.04.2011, 19:48
| #4 |
| /// Malware-holic | TR/Kazy.mekml.1 ich warte auf den upload.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu TR/Kazy.mekml.1 |
| 0x00000001, akamai, antivir, avgntflt.sys, avira, bho, desktop, disabletaskmgr, einstellungen, error, excel, firefox, flash player, format, google, google earth, helper, homepage, location, logfile, microsoft office word, mozilla, oldtimer, realtek, registry, rundll, saver, scan, searchplugins, security, senden, shell32.dll, shortcut, software, udp, virus |
Linear-Darstellung
