Win32 Rootkitgen und WormConficker?

hasenfuss · 16.05.2011, 08:00

Hallo,
ich habe folgendes Problem:
Mein Virenprogramm (Avast) meldet immer eine Bedrohung durch Rootkitgen.
Kriege das Ding mit keinem Programm (Avast und Malwarbytes) runter. Was kann ich tun?

Hier die kurze Logdatei:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6587

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.05.2011 08:29:13
mbam-log-2011-05-16 (08-29-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 221995
Laufzeit: 5 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\windows\system32\korhhvb.p (Worm.Conficker) -> Quarantined and deleted successfully.

Vielen Dank für Eure Hilfe.

cosinus · 16.05.2011, 14:13

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

hasenfuss · 16.05.2011, 15:15

Hallo Arne,
habe Malware noch mal vollständig durchlaufen lassen. DAs die Logfile...

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6588

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.05.2011 16:09:37
mbam-log-2011-05-16 (16-09-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 335050
Laufzeit: 49 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\networkservice\lokale einstellungen\temporary internet files\content.ie5\pmyke6xe\tctnvry[1].gif (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\windows\system32\korhhvb.p (Worm.Conficker) -> Quarantined and deleted successfully.

LG

cosinus · 16.05.2011, 20:22

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hasenfuss · 17.05.2011, 08:12

Hallo,
ich habe die OTL geladen - kriege sie aber nicht geöffnet, da es keine Win32 Anwendung ist???
Komme nicht weiter.
Danke schon mal für die Hilfe.
LG

cosinus · 17.05.2011, 09:01

Hier eine in cosinus.com umbenannte OTL.exe => File-Upload.net - cosinus.com
Vllt hast du damit mehr Glück.

hasenfuss · 17.05.2011, 09:37

DAnke, damit ging es. Hier die erste...OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 17.05.2011 10:10:37 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 487,00 Mb Available Physical Memory | 48,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 65,00% Paging File free
Paging file location(s): C:\pagefile.sys 256 1024 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50,00 Gb Total Space | 26,37 Gb Free Space | 52,75% Space Free | Partition Type: NTFS
Drive D: | 248,08 Gb Total Space | 118,32 Gb Free Space | 47,69% Space Free | Partition Type: NTFS
Drive G: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive K: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive N: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive P: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive Q: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive R: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive S: | 248,09 Gb Total Space | 237,81 Gb Free Space | 95,86% Space Free | Partition Type: NTFS
Drive T: | 248,09 Gb Total Space | 237,81 Gb Free Space | 95,86% Space Free | Partition Type: NTFS
Drive U: | 248,09 Gb Total Space | 237,81 Gb Free Space | 95,86% Space Free | Partition Type: NTFS
Drive Z: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
 
Computer Name: ***| User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\cosinus.com (OldTimer Tools)
PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - D:\phonostar-Player\phonostarTimer.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Logitech\QuickCam\Quickcam.exe ()
PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe ()
PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe (Logitech Inc.)
PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe (Logitech Inc.)
PRC - C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe (Marvell Semiconductor, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Co.)
PRC - C:\WINDOWS\system32\inetsrv\inetinfo.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation)
PRC - C:\Programme\ScanSoft\OmniPageSE\opware32.exe (ScanSoft, Inc)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\cosinus.com (OldTimer Tools)
MOD - C:\Programme\Alwil Software\Avast5\snxhk.dll (AVAST Software)
MOD - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcInj.dll (Logitech Inc.)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\Programme\ScanSoft\OmniPageSE\ophook32.dll (ScanSoft, Inc)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (LogoMedia TranslateDotNet Server) --  File not found
SRV - (HidServ) --  File not found
SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (AdobeActiveFileMonitor9.0) -- C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (LVSrvLauncher) -- C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.)
SRV - (LVPrcSrv) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
SRV - (LVCOMSer) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe (Logitech Inc.)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (W3SVC) -- C:\WINDOWS\system32\inetsrv\inetinfo.exe (Microsoft Corporation)
SRV - (SMTPSVC) Simple Mail Transfer Protocol (SMTP) -- C:\WINDOWS\system32\inetsrv\inetinfo.exe (Microsoft Corporation)
SRV - (IISADMIN) -- C:\WINDOWS\system32\inetsrv\inetinfo.exe (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
SRV - (OracleOraHome81ClientCache) -- C:\oracle\ora81\bin\ONRSD.EXE ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (aswSnx) -- C:\WINDOWS\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)
DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (LVcKap) -- C:\WINDOWS\system32\drivers\Lvckap.sys (Logitech Inc.)
DRV - (LVPr2Mon) -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys ()
DRV - (LVMVDrv) -- C:\WINDOWS\system32\drivers\LVMVdrv.sys (Logitech Inc.)
DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.)
DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\system32\drivers\LV302V32.SYS (Logitech Inc.)
DRV - (pepifilter) -- C:\WINDOWS\system32\drivers\lv302af.sys (Logitech Inc.)
DRV - (Tcpip6) -- C:\WINDOWS\system32\drivers\tcpip6.sys (Microsoft Corporation)
DRV - (SLEE_14_DRIVER) -- C:\WINDOWS\system32\drivers\sleen14.sys (Softwareentwicklung Remus - ArchiCrypt )
DRV - (RMCAST) -- C:\WINDOWS\system32\drivers\rmcast.sys (Microsoft Corporation)
DRV - (AFS2K) -- C:\WINDOWS\System32\drivers\AFS2K.SYS (Oak Technology Inc.)
DRV - (Ps2) -- C:\WINDOWS\system32\drivers\PS2.sys (Hewlett-Packard Company)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (USB-100) -- C:\WINDOWS\system32\drivers\RTL8150.SYS (Realtek                                                                         )
DRV - (PID_08A0) QuickCam IM(PID_08A0) -- C:\WINDOWS\system32\drivers\LV302AV.SYS (Logitech Inc.)
DRV - (NwlnkIpx) -- C:\WINDOWS\system32\drivers\nwlnkipx.sys (Microsoft Corporation)
DRV - (MQAC) -- C:\WINDOWS\system32\drivers\mqac.sys (Microsoft Corporation)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation)
DRV - (LCSWAN) LANCOM NDISWAN (Ver. 1.01.0001) -- C:\WINDOWS\system32\drivers\LCSWAN.sys (LANCOM Systems)
DRV - (NwlnkNb) -- C:\WINDOWS\system32\drivers\nwlnknb.sys (Microsoft Corporation)
DRV - (NwlnkSpx) -- C:\WINDOWS\system32\drivers\nwlnkspx.sys (Microsoft Corporation)
DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH)
DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\wrc@avast.com: C:\Programme\Alwil Software\Avast5\WebRep\FF [2011.05.16 07:59:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.09 09:24:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.09 09:24:39 | 000,000,000 | ---D | M]
 
[2008.08.26 10:21:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2011.03.18 09:35:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\uimkikft.default\extensions
[2011.05.17 08:43:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.06.29 07:51:55 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.23 08:25:05 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.11.23 11:48:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.22 15:36:04 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.22 10:31:05 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2008.12.19 10:29:17 | 000,000,000 | ---D | M] (Long Titles) -- C:\PROGRAMME\HAUFE\IDESK\IDESKBROWSER\EXTENSIONS\{C24AECC7-7C95-507F-D71F-155CB86656DF}
[2011.02.02 22:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2011.03.17 14:37:43 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.17 14:37:43 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.17 14:37:43 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.17 14:37:43 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.17 14:37:43 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.01.09 15:58:37 | 000,000,840 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 192.168.3.1	Srv1
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Co.)
O4 - HKLM..\Run: [LogitechCommunicationsManager] C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe ()
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Programme\Logitech\QuickCam\Quickcam.exe ()
O4 - HKLM..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation)
O4 - HKLM..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe (ScanSoft, Inc)
O4 - HKLM..\Run: [PrnStatusMX] C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe (Marvell Semiconductor, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [phonostarTimer] D:\phonostar-Player\phonostarTimer.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O15 - HKCU\..Trusted Domains: arcor-ip.de ([iportal] https in Vertrauenswürdige Sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.intern
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - CLSID or File not found.
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.04.27 17:11:08 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.05.17 10:06:24 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\cosinus.com
[2011.05.17 09:52:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Podcasts
[2011.05.17 09:49:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Aufnahmen
[2011.05.17 09:19:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar GmbH
[2011.05.11 11:50:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2011.05.11 11:50:48 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.05.11 11:50:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.05.11 11:50:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.05.11 11:50:44 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.05.11 11:50:44 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.05.09 08:22:33 | 000,441,176 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSnx.sys
[2004.11.24 20:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[1998.08.24 09:31:44 | 000,018,944 | ---- | C] ( ) -- C:\WINDOWS\System32\IMPLODE.DLL
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.05.17 10:06:29 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\cosinus.com
[2011.05.17 09:24:32 | 002,109,054 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Projekt1.png
[2011.05.17 09:22:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.05.17 09:19:53 | 000,000,468 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\phonostar-Player.lnk
[2011.05.17 09:14:19 | 011,215,295 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Hamburg.png
[2011.05.17 07:57:12 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.05.17 07:57:10 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.05.17 07:53:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.16 07:59:03 | 000,003,002 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2011.05.12 08:53:30 | 002,422,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\fest1.png
[2011.05.12 07:52:59 | 000,000,342 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-***-***.job
[2011.05.11 13:27:18 | 001,389,034 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Senioren1.png
[2011.05.11 11:50:48 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.05.10 15:00:49 | 001,389,583 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Seniorenmst.png
[2011.05.10 14:10:59 | 000,040,112 | ---- | M] (AVAST Software) -- C:\WINDOWS\avastSS.scr
[2011.05.10 14:10:55 | 000,199,304 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe
[2011.05.10 14:03:54 | 000,441,176 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSnx.sys
[2011.05.10 14:03:44 | 000,307,928 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSP.sys
[2011.05.10 14:02:37 | 000,049,240 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys
[2011.05.10 14:02:25 | 000,102,616 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys
[2011.05.10 14:02:22 | 000,096,344 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon.sys
[2011.05.10 13:59:56 | 000,025,432 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys
[2011.05.10 13:59:37 | 000,030,808 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys
[2011.05.10 13:59:35 | 000,019,544 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys
[2011.05.09 08:21:30 | 000,001,715 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.05.04 14:54:51 | 000,000,701 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Personal NB.lnk
[2011.05.04 09:08:18 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.05.03 11:43:07 | 002,400,004 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Juleica.png
[2011.04.28 11:54:22 | 001,006,554 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\gutschein frau.png
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.05.17 09:19:53 | 000,000,468 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\phonostar-Player.lnk
[2011.05.17 08:23:34 | 011,215,295 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Hamburg.png
[2011.05.16 14:10:49 | 002,109,054 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Projekt1.png
[2011.05.12 08:53:29 | 002,422,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\fest1.png
[2011.05.11 11:50:48 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.05.10 14:18:38 | 001,389,583 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Seniorenmst.png
[2011.05.04 12:12:25 | 001,389,034 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Senioren1.png
[2011.03.10 18:08:46 | 000,000,131 | ---- | C] () -- C:\WINDOWS\HSCOUNT.INI
[2011.01.19 15:31:41 | 000,000,025 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2010.08.03 15:38:08 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010.04.01 12:33:28 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.01.27 09:37:25 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\$_hpcst$.hpc
[2009.09.01 14:11:41 | 000,000,134 | ---- | C] () -- C:\WINDOWS\abfindungsrechner.INI
[2009.05.04 11:09:53 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.10.16 14:45:19 | 000,002,271 | ---- | C] () -- C:\WINDOWS\blueklik.ini
[2008.01.24 12:55:32 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.12.05 11:43:29 | 000,089,163 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\mdb.bin
[2007.11.20 15:29:30 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\$_hpcst$.hpc
[2007.10.11 18:59:24 | 000,025,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2007.08.09 13:26:44 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\ac3config.exe
[2007.06.21 16:18:49 | 000,000,065 | ---- | C] () -- C:\WINDOWS\SHISETUP.SYS
[2007.03.05 13:37:33 | 000,036,352 | ---- | C] () -- C:\WINDOWS\vendorctl.exe
[2006.11.29 18:45:27 | 000,001,901 | ---- | C] () -- C:\WINDOWS\panose.bin
[2006.11.29 18:36:09 | 000,039,095 | ---- | C] () -- C:\WINDOWS\Iccsigs.dat
[2006.11.29 18:36:09 | 000,000,156 | ---- | C] () -- C:\WINDOWS\KPCMS.INI
[2006.11.29 18:35:42 | 000,042,483 | ---- | C] () -- C:\WINDOWS\ICCCODES.DAT
[2006.11.02 17:10:16 | 000,080,912 | ---- | C] () -- C:\WINDOWS\System32\sherlock2.exe
[2006.10.25 17:52:20 | 000,000,010 | ---- | C] () -- C:\WINDOWS\popcinfo.dat
[2006.10.09 17:04:26 | 000,103,024 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2006.06.29 12:24:50 | 000,025,399 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2006.06.26 16:17:02 | 000,000,016 | ---- | C] () -- C:\WINDOWS\SCN.ini
[2006.06.21 19:36:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2006.06.21 19:35:50 | 000,003,066 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2006.06.20 15:35:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\stduser.ini
[2006.06.20 15:25:35 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\vsmon1.dll
[2006.06.19 12:29:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\GBROWSER.INI
[2006.05.31 07:53:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.05.17 19:37:20 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2006.05.16 15:30:50 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\InstMed.exe
[2006.05.16 15:29:10 | 000,057,126 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2006.05.16 09:01:55 | 000,000,229 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.05.09 15:36:23 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2006.05.04 15:49:09 | 000,000,353 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2006.05.03 07:31:58 | 000,000,753 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.05.02 18:10:23 | 000,007,306 | ---- | C] () -- C:\WINDOWS\hpdj5600.ini
[2006.05.02 18:09:55 | 000,000,414 | ---- | C] () -- C:\WINDOWS\hpbvspst.ini
[2006.05.02 18:01:59 | 000,000,509 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2006.04.27 18:01:32 | 000,004,346 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.04.27 18:00:40 | 000,745,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2006.04.27 17:40:55 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat
[2006.04.27 17:31:28 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.04.27 17:31:28 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2006.04.27 17:31:28 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.04.27 17:31:28 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006.04.27 17:31:28 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.04.27 17:31:28 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.04.27 17:31:28 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.04.27 17:31:28 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.04.27 17:31:27 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006.04.27 17:31:27 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2006.04.27 17:31:27 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.04.27 17:19:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\frontpg.ini
[2006.04.27 17:18:50 | 000,024,222 | ---- | C] () -- C:\WINDOWS\System32\smtpctrs.ini
[2006.04.27 17:18:50 | 000,001,137 | ---- | C] () -- C:\WINDOWS\System32\ntfsdrct.ini
[2006.04.27 17:18:42 | 000,061,950 | ---- | C] () -- C:\WINDOWS\System32\w3ctrs.ini
[2006.04.27 17:18:42 | 000,016,173 | ---- | C] () -- C:\WINDOWS\System32\axperf.ini
[2006.04.27 17:18:39 | 000,017,590 | ---- | C] () -- C:\WINDOWS\System32\infoctrs.ini
[2006.04.27 17:18:36 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2006.04.27 17:15:21 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2006.04.27 17:12:54 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2006.04.27 17:08:48 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.10.12 07:40:58 | 002,255,360 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2004.10.12 07:39:48 | 000,028,160 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2004.10.12 07:39:08 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2004.10.09 07:40:16 | 000,454,144 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2004.10.05 09:16:08 | 000,395,776 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2004.10.03 18:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
[2004.08.04 09:57:20 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2003.03.05 22:03:18 | 000,004,978 | ---- | C] () -- C:\WINDOWS\hpfmdl01.dat
[2003.03.05 18:28:38 | 000,000,309 | ---- | C] () -- C:\WINDOWS\hpfins01.dat
[2002.08.29 03:54:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2002.07.16 15:43:59 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hookmod.dll
[2002.03.25 20:02:14 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001.09.01 00:15:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.01 00:15:44 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 21:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 21:00:00 | 000,539,214 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 21:00:00 | 000,511,340 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 21:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 21:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 21:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 21:00:00 | 000,117,292 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 21:00:00 | 000,102,220 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 21:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 21:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 21:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 21:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001.05.08 14:00:00 | 000,162,155 | -HS- | C] () -- C:\WINDOWS\System32\korhhvb.p
[1999.09.22 14:03:54 | 000,100,352 | ---- | C] () -- C:\WINDOWS\System32\PG32CONV.DLL
[1999.07.30 08:24:34 | 000,000,218 | ---- | C] () -- C:\WINDOWS\oraodbc.ini
[1999.03.11 21:07:22 | 000,299,008 | ---- | C] () -- C:\WINDOWS\System32\CRUTL14.DLL
[1999.01.27 13:39:06 | 000,065,024 | ---- | C] () -- C:\WINDOWS\System32\indounin.dll
[1997.06.13 07:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
 
========== LOP Check ==========
 
[2010.08.17 07:59:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software
[2011.01.17 17:23:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2006.06.21 07:25:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
[2006.06.20 15:25:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
[2008.12.19 10:28:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2010.01.26 16:47:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2010.08.17 08:41:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2010.08.17 08:32:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2008.11.13 15:56:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
[2011.01.17 17:33:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2006.05.08 11:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2011.01.17 17:10:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
[2006.05.08 11:58:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
[2006.05.08 12:02:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
[2009.05.04 11:10:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Aastra Telecom Schweiz AG
[2011.04.07 15:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
[2010.11.24 15:30:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2011.04.05 10:36:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Haufe
[2011.01.31 13:07:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Marvell
[2011.01.19 17:54:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
[2009.10.20 13:43:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nvu
[2009.12.14 17:55:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org
[2010.08.17 08:32:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
[2011.05.17 09:19:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar GmbH
[2007.11.29 14:02:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScanSoft
[2010.08.17 10:00:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sigel
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\Seniorenmst.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\Senioren1.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\Projekt1.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\Juleica.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\Hamburg.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\gutschein mann.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\gutschein frau.png:SummaryInformation
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\***\Desktop\fest1.png:SummaryInformation

< End of report >

--- --- ---

cosinus · 17.05.2011, 09:41

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.intern

Ist das ein Bürorechner?

Hab den Domainnamen mal editiert.

hasenfuss · 17.05.2011, 09:43

[edit]

1x Log posten reicht

--
cosinus

[/edit]

cosinus · 17.05.2011, 09:48

Editier das 2. Posting, einmal posten reicht.

hasenfuss · 17.05.2011, 09:58

Und die zweite:OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 17.05.2011 10:10:37 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\+++\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 487,00 Mb Available Physical Memory | 48,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 65,00% Paging File free
Paging file location(s): C:\pagefile.sys 256 1024 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50,00 Gb Total Space | 26,37 Gb Free Space | 52,75% Space Free | Partition Type: NTFS
Drive D: | 248,08 Gb Total Space | 118,32 Gb Free Space | 47,69% Space Free | Partition Type: NTFS
Drive G: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive K: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive N: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive P: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive Q: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive R: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
Drive S: | 248,09 Gb Total Space | 237,81 Gb Free Space | 95,86% Space Free | Partition Type: NTFS
Drive T: | 248,09 Gb Total Space | 237,81 Gb Free Space | 95,86% Space Free | Partition Type: NTFS
Drive U: | 248,09 Gb Total Space | 237,81 Gb Free Space | 95,86% Space Free | Partition Type: NTFS
Drive Z: | 931,51 Gb Total Space | 705,32 Gb Free Space | 75,72% Space Free | Partition Type: NTFS
 
Computer Name: SOZIALBERATUNG | User Name: +++ | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
.js [@ = JSFile] -- C:\Programme\Macromedia\Dreamweaver UltraDev 4\UltraDev.exe (Macromedia, Inc.)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
jsfile [open] -- "C:\Programme\Macromedia\Dreamweaver UltraDev 4\UltraDev.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"1700:TCP" = 1700:TCP:*:Enabled:MioNet Remote Drive Access 0
"1701:TCP" = 1701:TCP:*:Enabled:MioNet Remote Drive Access 1
"1702:TCP" = 1702:TCP:*:Enabled:MioNet Remote Drive Access 2
"1703:TCP" = 1703:TCP:*:Enabled:MioNet Remote Drive Access 3
"1704:TCP" = 1704:TCP:*:Enabled:MioNet Remote Drive Access 4
"1705:TCP" = 1705:TCP:*:Enabled:MioNet Remote Drive Access 5
"1706:TCP" = 1706:TCP:*:Enabled:MioNet Remote Drive Access 6
"1707:TCP" = 1707:TCP:*:Enabled:MioNet Remote Drive Access 7
"1708:TCP" = 1708:TCP:*:Enabled:MioNet Remote Drive Access 8
"1709:TCP" = 1709:TCP:*:Enabled:MioNet Remote Drive Access 9
"1641:TCP" = 1641:TCP:*:Enabled:MioNet Remote Drive Verification
"1647:TCP" = 1647:TCP:*:Enabled:MioNet Storage Device Configuration
"5432:UDP" = 5432:UDP:*:Enabled:MioNet Storage Device Discovery
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0
"C:\Programme\MSN Messenger\msncall.exe" = C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)
"C:\Programme\FlashFXP\FlashFXP.exe" = C:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3
"C:\Programme\eSVNC\WinVNC.exe" = C:\Programme\eSVNC\WinVNC.exe:*:Enabled:WinVNC -- (Samuel Folliard)
"C:\Programme\MioNet\jvm\bin\MioNet.exe" = C:\Programme\MioNet\jvm\bin\MioNet.exe:*:Enabled:Java(TM) Platform SE binary
"C:\Programme\MioNet\MioNetManager.exe" = C:\Programme\MioNet\MioNetManager.exe:*:Enabled:MioNetManager
"C:\Programme\Gemeinsame Dateien\XPressUpdate\XPressUpdate.exe" = C:\Programme\Gemeinsame Dateien\XPressUpdate\XPressUpdate.exe:*:Enabled:XPressUpdate
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\+++\Desktop\ha_client\ha_client.exe" = C:\Dokumente und Einstellungen\+++\Desktop\ha_client\ha_client.exe:*:Enabled:Hidden Administrator Client
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0
"C:\Programme\MSN Messenger\msncall.exe" = C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)
"C:\Programme\FlashFXP\FlashFXP.exe" = C:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{007F778D-F15C-4EAB-AE92-071D21FAF632}" = Adobe Photoshop Elements 9
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{1E187923-04E5-4E1F-9BF2-40E32D93A1C4}" = HP Color LaserJet CP1210 Series Toolbox
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{25175695-4B20-4298-9F34-C2C57CD277B3}" = Elements STI Installer
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{26DDB12A-CB5E-4C0B-89AF-817CA0E59CC9}" = HP LaserJet Toolbox
"{2750B389-A2D2-4953-99CA-27C1F2A8E6FD}" = Microsoft SQL Server 2005 Tools Express Edition
"{29F563F4-8807-4496-8463-441EAA0E96AB}" = PC Connectivity Solution
"{2AFFFDD7-ED85-4A90-8C52-5DA9EBDC9B8F}" = Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35725FBC-A136-4A46-9F29-091759D9BB93}" = MVision
"{36D6D6B8-5779-4CCA-9C8E-D6283D4F0BC7}" = Haufe Formular-Manager
"{433EACD8-4747-4A6A-826A-FFA9F39B0D40}" = Elements 9 Organizer
"{43DDC07F-2867-4407-B4FF-28EB7BA6A846}" = Steganos Live Encryption Engine 14
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{53F5C3EE-05ED-4830-994B-50B2F0D50FCE}" = Microsoft SQL Server Setup Support Files (English)
"{54360A73-B080-4A69-BFD4-53C190DD3AB0}" = HP Color LaserJet CP1210 Series
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5
"{6249C22D-E6A8-407B-BA8B-40298848ED94}" = OmniPage SE
"{6748E773-5DA0-4D19-8AA5-273B4133A09B}" = SmartSound Quicktracks for Premiere Elements 9.0
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7902E313-FF0F-4493-ACB1-A8147B78DCD0}" = HPSSupply
"{8CDC6712-AF80-459E-911F-F1E156CB0AB0}" = hp deskjet 5600
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{945AC98B-3DC8-45BE-BAE0-22CEEE37A103}" = Logitech QuickCam
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A4265392-A35D-4C3D-8CF2-1BD6D4F20C6A}" = eXPert PDF V3
"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser
"{A5BA14E0-7384-11D4-BAE7-00409631A2C8}" = Macromedia Extension Manager
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{ABDA9912-5D00-11D4-BAE7-9367CA097955}" = Macromedia Dreamweaver UltraDev 4
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.4 - Deutsch
"{AC76D478-1031-0000-3478-000000000001}" = Adobe Acrobat Distiller 6.0  - Deutsch
"{AD88355B-A4E0-4DA1-BAC3-EA4FEA930691}" = Ipswitch WS_FTP Pro
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B208806F-A231-4FA0-AB3F-5C1B8979223E}" = Microsoft ActiveSync 4.0
"{B360A8E5-C171-4AAE-9777-65B3CDB0072C}" = CanoScan LiDE20,30 Manual
"{B376402D-58EA-45EA-BD50-DD924EB67A70}" = HP Speicher-Disc
"{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}" = HP Software Update
"{BEF726DD-4037-4214-8C6A-E625C02D2870}" = Logitech Audio Echo Cancellation Component
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DBA8B9E1-C6FF-4624-9598-73D3B41A0903}" = Microsoft Picture It! Foto Premium 9
"{E0828692-FD9D-459F-9312-C645C3CA6650}" = HP Photo and Imaging 2.0 - Deskjet Series
"{E2AE009D-37E5-4724-A6B8-0ED6A6BA4F68}" = Elements STI Installer
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E84EF5FB-6EA2-4CA4-81CA-87B06550614B}" = AIMS 7.7 Configuration Set (ai77100)
"{E9F44C98-B8B6-480F-AF7B-E42A0A46F4E3}" = Microsoft SQL Server VSS Writer
"{EA516024-D84D-41F1-814F-83175A6188F2}" = Logitech Video Enumerator
"{EB5DE5B5-212B-4D91-B2F0-664E2122EED3}" = ZMAV
"{EB9955F8-467C-47FC-90F8-12CD5DF684C3}" = Adobe Premiere Elements 9
"{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS
"{F302F4F0-588D-6501-1ACF-BE3FDCC9135D}" = Adobe Community Help
"{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser
"{F9B3DD02-B0B3-42E9-8650-030DFF0D133D}" = Microsoft SQL Server Native Client
"01102051973_is1" = BlueKlick 1.1
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe PageMaker 7.0" = Adobe PageMaker 7.0
"Adobe Photoshop Elements 9" = Adobe Photoshop Elements 9
"avast" = avast! Free Antivirus
"Canon CanoScan Toolbox 4.0" = Canon CanoScan Toolbox 4.0
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"Data Access Objects (DAO) 3.5" = Data Access Objects (DAO) 3.5
"eSVNC 1.1.2 r2_is1" = eSVNC 1.1.2 r2 - Win32
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free Video to Flash Converter_is1" = Free Video to Flash Converter version 4.5
"HP Color LaserJet CP1210 Series" = HP Color LaserJet CP1210 Series
"hp print screen utility" = hp print screen utility
"InstallShield_{6748E773-5DA0-4D19-8AA5-273B4133A09B}" = SmartSound Quicktracks for Premiere Elements 9.0
"IPIX ActiveX Viewer" = IPIX ActiveX Viewer
"IPIX Netscape Plugin Viewer" = IPIX Netscape Plugin Viewer
"legacyqcam_11.00" = Logitech Legacy USB Camera-Treiberpaket
"lvdrivers_11.50" = Logitech QuickCam-Treiberpaket
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"navigating GmbH POI-Warner Destinator Edition" = navigating GmbH POI-Warner Destinator Edition
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"Passware Kit Enterprise" = Passware Kit Enterprise 8.1
"phonostar3RadioPlayer_is1" = phonostar-Player Version 3.02.1
"PictureIt_v9" = Microsoft Picture It! Foto Premium 9
"PremElem90" = Adobe Premiere Elements 9
"QuickTime" = QuickTime
"RealPlayer 6.0" = RealPlayer
"Rossmann Fotoservice_is1" = Rossmann Fotoservice
"ShockwaveFlash" = Macromedia Flash Player 8
"Task-direkt" = tast direkt
"Uninstall_is1" = Uninstall 1.0.0.1
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"WGA" = Windows Genuine Advantage Validation Tool
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 2
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01007" = Microsoft User-Mode Driver Framework Feature Pack 1.7
"XP Codec Pack" = XP Codec Pack
 
========== Last 10 Event Log Errors ==========
 
[ Antivirus Events ]
Error - 22.10.2008 06:34:01 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 22.10.2008 07:12:22 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 22.10.2008 08:16:06 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 14.11.2008 06:31:40 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 18.11.2008 11:15:43 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 18.11.2008 11:27:33 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 18.11.2008 11:52:36 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 26.11.2008 10:08:29 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 03.03.2009 03:56:45 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
Error - 05.11.2009 08:05:35 | Computer Name = +++ | Source = avast! | ID = 33554522
Description = 
 
[ Application Events ]
Error - 12.05.2011 02:06:50 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 12.05.2011 05:12:53 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 12.05.2011 10:26:34 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 13.05.2011 01:55:52 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 13.05.2011 02:13:44 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 13.05.2011 05:25:12 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 16.05.2011 01:57:21 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 16.05.2011 02:08:45 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 16.05.2011 03:17:00 | Computer Name = +++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
Error - 17.05.2011 01:54:15 | Computer Name =+++ | Source = MSMQ | ID = 2164
Description = Der Message Queuing-Dienst wird der Domäne "+++" nicht hinzugefügt.
In
 der neuen Domäne ist ein MSMQ-Konfigurationsobjekt (MSMQ) mit einer anderen Kennung
 als der Dienstkennung vorhanden.  Löschen Sie das MSMQ-Konfigurationsobjekt in der
 neuen Domäne, und starten Sie den Message Queuing-Dienst neu.
 
[ System Events ]
Error - 16.05.2011 10:29:36 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 01:57:53 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 02:08:51 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 02:29:53 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 02:33:15 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 02:33:25 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 03:03:17 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 03:06:29 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 03:50:17 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 17.05.2011 04:02:05 | Computer Name = +++ | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
 
< End of report >

--- --- ---

hasenfuss · 17.05.2011, 10:02

Ja, ist ein Bürorechner...
Ist das wichtig?? Sorry, sonst hätt ich es gleich geschrieben...

cosinus · 17.05.2011, 10:16

Und warum fragst du nicht die IT-Verantwortlichen? Ich denke mal die sehen das garnicht gerne wenn Firmen-/Bürorechner über ein Board bearbeitet werden.

hasenfuss · 17.05.2011, 13:50

Mein IT-Fachmann meint, ich müsste den ganzen Rechner platt machen... Das wäre nicht so toll, weil ich ja einige Programme drauf habe. Ich dacht es gäbe eine andere Lösung...???

cosinus · 17.05.2011, 14:10

Er hat da nicht unrecht. Eine Bereinigung ist nur ein Kompromiss.
Was macht die IT für euch eigentlich? Administriert ihr die Rechner selber?

16.05.2011, 14:13	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Win32 Rootkitgen und WormConficker? Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ __________________

17.05.2011, 09:01	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Win32 Rootkitgen und WormConficker? Hier eine in cosinus.com umbenannte OTL.exe => File-Upload.net - cosinus.com Vllt hast du damit mehr Glück. __________________ --> Win32 Rootkitgen und WormConficker?

17.05.2011, 09:48	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Win32 Rootkitgen und WormConficker? Editier das 2. Posting, einmal posten reicht. __________________ Logfiles bitte immer in CODE-Tags posten

17.05.2011, 10:16	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Win32 Rootkitgen und WormConficker? Und warum fragst du nicht die IT-Verantwortlichen? Ich denke mal die sehen das garnicht gerne wenn Firmen-/Bürorechner über ein Board bearbeitet werden. __________________ Logfiles bitte immer in CODE-Tags posten

17.05.2011, 14:10	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Win32 Rootkitgen und WormConficker? Er hat da nicht unrecht. Eine Bereinigung ist nur ein Kompromiss. Was macht die IT für euch eigentlich? Administriert ihr die Rechner selber? __________________ Logfiles bitte immer in CODE-Tags posten

Win32 Rootkitgen und WormConficker?

Plagegeister aller Art und deren Bekämpfung: Win32 Rootkitgen und WormConficker?