|
Log-Analyse und Auswertung: Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.05.2011, 10:45 | #1 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Hallo liebe Community! Ich bin neu hier und habe mich aufgrund eines Trojanerbefalls meines Rechners hier angemeldet. Leider verstehe ich nicht viel von der Sache, deshalb bin ich für jeden eurer Ratschläge sehr dankbar. Los geht's: Gestern Abend hat Avira plötzlich angefangen wie verrückt Alarm zu schlagen und hat im 10-Sekunden-Takt vor folgendem Ereignis gewarnt: "In der Datei 'C:\Recycle.Bin\Recycle.Bin.exe' wurde ein Virus oder unerwünschtes Programm 'HIDDENEXT/Crypted' [heuristic] gefunden. Ausgeführte Aktion: Zugriff verweigern" Ich habe natürlich immer auf Entfernen geklickt, was aber nichts geholfen hat, die Meldung erschien immer wieder. Ich habe anschließend den Papierkorb geleert und den Rechner neu gestartet. Danach war Ruhe. Der anschließend durchgeführte Avira Systemscan lieferte folgendes: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 22. Mai 2011 20:24 Es wird nach 2751735 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (plain) [6.0.6000] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : *****-PC Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 27.04.2011 19:01:10 AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 17:52:19 LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 09:24:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:15:04 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:35:34 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:53:02 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:46:07 VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 20:46:07 VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 20:46:07 VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 20:46:07 VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 20:46:07 VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 20:46:07 VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 20:46:07 VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 20:46:07 VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 20:46:08 VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 20:46:08 VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 07:26:50 VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 07:26:50 VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 07:26:51 VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 07:26:51 VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 19:01:10 VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 19:01:10 VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 19:01:10 VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 23:57:23 VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 23:57:23 VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 23:57:24 VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 13:26:13 VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 23:04:51 VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 23:04:52 VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 23:04:52 VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 10:04:19 VBASE028.VDF : 7.11.8.47 2048 Bytes 17.05.2011 10:04:19 VBASE029.VDF : 7.11.8.48 2048 Bytes 17.05.2011 10:04:19 VBASE030.VDF : 7.11.8.49 2048 Bytes 17.05.2011 10:04:19 VBASE031.VDF : 7.11.8.89 125952 Bytes 21.05.2011 18:06:40 Engineversion : 8.2.4.242 AEVDF.DLL : 8.1.2.1 106868 Bytes 05.08.2010 15:01:57 AESCRIPT.DLL : 8.1.3.64 1606011 Bytes 20.05.2011 20:20:22 AESCN.DLL : 8.1.7.2 127349 Bytes 27.11.2010 13:04:16 AESBX.DLL : 8.1.3.2 254324 Bytes 27.11.2010 13:04:18 AERDL.DLL : 8.1.9.9 639347 Bytes 27.03.2011 19:33:41 AEPACK.DLL : 8.2.6.8 557430 Bytes 19.05.2011 10:04:22 AEOFFICE.DLL : 8.1.1.22 205178 Bytes 08.05.2011 23:57:29 AEHEUR.DLL : 8.1.2.119 3481976 Bytes 20.05.2011 20:20:21 AEHELP.DLL : 8.1.17.2 246135 Bytes 20.05.2011 20:20:18 AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 20:20:17 AEEMU.DLL : 8.1.3.0 393589 Bytes 27.11.2010 13:04:13 AECORE.DLL : 8.1.20.5 196983 Bytes 20.05.2011 20:20:17 AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 08:00:12 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.10 174120 Bytes 19.05.2011 10:04:23 AVREG.DLL : 10.0.3.2 53096 Bytes 07.11.2010 23:04:32 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 27.04.2011 19:01:10 AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 09:24:58 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 07.11.2010 23:04:32 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: umbenennen Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Sonntag, 22. Mai 2011 20:24 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-2693447025-4147152315-2628106334-1000\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2693447025-4147152315-2628106334-1000\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '164' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.EXE' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht Durchsuche Prozess 'TestHandler.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'CATSysDemon.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '176' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '143' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '112' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1627' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\Users\*****\AppData\Local\Temp\jar_cache5571000299781831667.tmp.VIR [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D --> google/stomp.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D C:\Users\*****\AppData\Local\Temp\jar_cache8143825976725373653.tmp.VIR [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.Y --> our.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.Y C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\d188a2c-7f9896d4.VIR [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.L --> Downloader.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.L C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\72e2fe76-112a9963.VIR [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D --> google/stomp.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\72e2fe76-37ba0f17.VIR [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D --> google/stomp.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\32ad0d46-120ecd34.VIR [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BE.2 C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\32ad0d46-14223500.VIR [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BE.2 C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\32ad0d46-181d8a68.VIR [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BE.2 C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\32ad0d46-466d0b75.VIR [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BE.2 C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\32ad0d46-52ae12ce.VIR [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BE.2 Beginne mit der Suche in 'D:\' <DATA> Ende des Suchlaufs: Sonntag, 22. Mai 2011 22:27 Benötigte Zeit: 2:02:27 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 28022 Verzeichnisse wurden überprüft 880970 Dateien wurden geprüft 10 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 880960 Dateien ohne Befall 5519 Archive wurden durchsucht 0 Warnungen 3 Hinweise 668998 Objekte wurden beim Rootkitscan durchsucht 3 Versteckte Objekte wurden gefunden ____________________________________________________________ Daraufhin habe ich mir die Ereignisse der letzten tage in Avira angesehen und festgestellt, dass der Trojaner TR/Agent.ar.55 zweimal entdeckt und in Quarantäne verschoben wurde. Ich habe beide aus der Quarantäne gelöscht. Eben gerade bin ich dann der Anleitung hier aus dem Forum gefolgt und habe mit Malwarebytes gescannt. Der Scan wurde nicht als Administrator ausgeführt (lieber nochmal als Admin durchführen?). Ergebnis war der Trojaner TR/Jorik.SpyEyes.no in C:\Recycle.Bin, habe den Fund entfernt. Log: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6647 Windows 6.0.6000 Internet Explorer 7.0.6000.17037 23.05.2011 10:38:21 mbam-log-2011-05-23 (10-38-21).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 153393 Laufzeit: 9 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. Infizierte Dateien: c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. ____________________________________________________________ Währenddessen hat Avira Alarm geschlagen und folgende Ereignisse berichtet: In der Datei 'C:\Users\*****\AppData\Local\Temp\0.4063025303467671.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Jorik.SpyEyes.no' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Anschließend folgten mehrere Warnungen verschiedener JAVA-Viren. Ich hab immer auf Entfernen geklickt. Ist es eigentlich ein Problem dass Avira lief während ich mit Malwarebytes gescannt habe? Oder kommen sich die beiden nicht in die Quere? Soeben habe ich noch den OTL-Scan durchgeführt, Ergebnis:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 23.05.2011 10:59:03 - Run 2 OTL by OldTimer - Version 3.2.23.0 Folder = C:\Users\*****\Desktop Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.17037) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,87 Gb Total Physical Memory | 1,13 Gb Available Physical Memory | 60,35% Memory free 3,96 Gb Paging File | 3,01 Gb Available in Paging File | 75,92% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 92,21 Gb Total Space | 22,59 Gb Free Space | 24,50% Space Free | Partition Type: NTFS Drive D: | 45,12 Gb Total Space | 14,41 Gb Free Space | 31,93% Space Free | Partition Type: NTFS Computer Name: *****-PC | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) .url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office\Winword.exe" /n htmlfile [print] -- "C:\Program Files\Microsoft Office\Office\Winword.exe" /x http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan) Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L" (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 "UacDisableNotify" = 1 "InternetSettingsDisableNotify" = 1 "AutoUpdateDisableNotify" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{093D474D-285B-40F7-9F9F-CF9B3E1F406A}" = lport=5000 | protocol=17 | dir=in | name=akamai netsession interface | "{1DF20922-03ED-40E9-BBED-AC9FDAD2D2E9}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | "{31638AB4-F6E1-4DBA-B671-169FCC9DCBF7}" = lport=137 | protocol=17 | dir=in | app=system | "{33C73E76-5E92-4AF5-891C-55FCE8738F86}" = lport=445 | protocol=6 | dir=in | app=system | "{3830B265-BCE7-4049-9440-8FC3630245ED}" = rport=138 | protocol=17 | dir=out | app=system | "{45D309B0-401F-485C-8F57-DCBC0EE5168D}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{55F74FE9-3989-451C-A2DD-ECF636BEFD05}" = lport=49161 | protocol=6 | dir=in | name=akamai netsession interface | "{6475149B-C41C-40FF-9F46-68B3CF4E5219}" = lport=139 | protocol=6 | dir=in | app=system | "{66264132-AA56-45BA-99D7-8909B5C1FC26}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | "{88EC707A-90F1-42B0-AFBC-98C34DC9BF53}" = rport=139 | protocol=6 | dir=out | app=system | "{A0B2E3CB-0322-4BE2-B388-3825F3D3D991}" = rport=445 | protocol=6 | dir=out | app=system | "{AAD9510C-5ACF-45BB-860A-BFD1A03D5643}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | "{B9D8A9F9-8438-40F9-BE1F-06846B9656F4}" = lport=138 | protocol=17 | dir=in | app=system | "{D2774A17-63F4-4D7B-BFDD-1713AFE795D6}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | "{D38623BB-0103-4AF5-8AA4-7BDE215E1A25}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | "{D6D7D054-AD5D-4848-AF5D-A98614A5DA04}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{F8B2D972-BC6F-4EC1-A331-848F1D4670FA}" = rport=137 | protocol=17 | dir=out | app=system | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{042560EF-27FD-4EC7-8EF8-479B6CDA96ED}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | "{1074577E-B4D3-4A0E-99CE-F0BBF32DD986}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | "{240FC715-1C50-4FC5-90CC-B29EBD7C1B89}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | "{24804106-1AAF-4A9C-BB09-2DDB1E8B0FBF}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{307335FF-6A80-4588-90F5-C4E6C7742084}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | "{3BBDA3EC-93EE-44BB-9E05-F851CF27C6CF}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | "{44715D65-713F-4974-888D-94BE32C451D3}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | "{4B41069F-39F2-4A50-B88A-FF08F37C257C}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | "{5476845C-A745-41FB-BE39-037E25FD1A2F}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | "{89738BD2-9737-46BB-92AD-C81119C45B7C}" = dir=in | app=c:\program files\itunes\itunes.exe | "{91164F1F-57DE-411C-8FCA-69CB7DFB453B}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | "{94F04E8C-B6E8-4158-81BD-4F76C05B6A88}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{AA79D111-3D6E-417C-A8C8-E80D6A5B34C4}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | "{B5CAB0A6-B30E-4392-ACEA-BDCB72F4C0B5}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{B650CCE5-C67B-40D9-B53A-588110331DDB}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | "{CC899824-BC01-4DCF-9FEB-DFB70A169AE5}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | "{DDF8C2AE-5C1B-4D6C-AF6D-FFDEDD2513C6}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | "{FA1DA60D-6B78-4411-827F-C374C642F059}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "TCP Query User{0EB568EE-3AD0-4C04-ADC2-C5DDFC67081B}D:\programme\starcraft\starcraft.exe" = protocol=6 | dir=in | app=d:\programme\starcraft\starcraft.exe | "TCP Query User{3F0BD3EF-7B03-4F14-AC24-BB2C405E5CDA}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | "TCP Query User{3F0DCC35-2B1D-451E-BE86-1560820ADD94}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | "TCP Query User{45F10772-599D-4770-ADBE-D469915CE1BC}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | "TCP Query User{4F2465DF-CC33-4037-8048-1FD9459907E7}C:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe" = protocol=6 | dir=in | app=c:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe | "TCP Query User{55C0C1FE-6168-46D2-A4B2-AEAD2BCCE53C}D:\programme\data\ra3_1.12.game" = protocol=6 | dir=in | app=d:\programme\data\ra3_1.12.game | "TCP Query User{7B056324-DEF7-4126-A160-AF6E95428648}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | "TCP Query User{7F7D9B1A-A7EC-4117-A6B8-96366F49A5DB}D:\programme\data\ra3_1.12.game" = protocol=6 | dir=in | app=d:\programme\data\ra3_1.12.game | "TCP Query User{89AA0CD9-1784-42F1-A776-BB5FA13549F3}D:\programme\data\ra3_1.0.game" = protocol=6 | dir=in | app=d:\programme\data\ra3_1.0.game | "TCP Query User{A1BB37E7-F55B-41DA-B516-1CA9B57E7A66}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | "TCP Query User{DB0DF319-47D2-4D0F-8E95-DE6A1D2124E4}C:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe" = protocol=6 | dir=in | app=c:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe | "TCP Query User{F3F90007-ED42-4F5F-9E31-371CF708205F}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | "TCP Query User{FB181B42-0BE7-4E48-9767-A2882891471F}C:\program files\icq6\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6\icq.exe | "UDP Query User{0793C445-8E99-4D67-BF0F-D20B78E3A263}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | "UDP Query User{0DC5AF1E-59E0-4D78-B55E-FD53C4EF03E2}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | "UDP Query User{146E3493-F896-4837-A97F-88B126C3AA73}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | "UDP Query User{2376731B-B97F-4F5F-92E3-405C2B21CD54}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | "UDP Query User{2CE9DBBD-4FF3-4DB5-A610-5BA2CEBFFA4E}D:\programme\data\ra3_1.0.game" = protocol=17 | dir=in | app=d:\programme\data\ra3_1.0.game | "UDP Query User{3B4C1E1F-B082-4F4E-A2D0-254A5FC69154}C:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe" = protocol=17 | dir=in | app=c:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe | "UDP Query User{7BD5E3F0-032D-4C63-A74C-D1523F6B8928}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | "UDP Query User{85DE702C-0ABE-4AE3-96AC-35292AEF0096}C:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe" = protocol=17 | dir=in | app=c:\program files\dassault systemes\b17\intel_a\code\bin\cnext.exe | "UDP Query User{AC1B4EBD-7710-4F44-83A8-B2C54EC37671}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | "UDP Query User{AD286B01-9985-4DA2-8292-228D9314277F}C:\program files\icq6\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6\icq.exe | "UDP Query User{AFEE698C-0BFC-4A47-BA11-B7C22A06C42B}D:\programme\starcraft\starcraft.exe" = protocol=17 | dir=in | app=d:\programme\starcraft\starcraft.exe | "UDP Query User{BA92877A-8183-44E3-9CC8-189A8E906939}D:\programme\data\ra3_1.12.game" = protocol=17 | dir=in | app=d:\programme\data\ra3_1.12.game | "UDP Query User{D4FD559E-1299-4AE5-A1D0-B3AA0DE41D6A}D:\programme\data\ra3_1.12.game" = protocol=17 | dir=in | app=d:\programme\data\ra3_1.12.game | ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{028741EB-70F5-BF63-EB23-480A7C48F096}" = CCC Help German "{0343FEB6-43EA-0608-CF1F-6B4D20784AA8}" = Catalyst Control Center Localization Italian "{03B5882D-D9DB-B950-CBE1-D03DDBFFF458}" = CCC Help Chinese Traditional "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{0ECB59D5-A3FC-4D61-AD3B-6CE679B3F852}" = Java DB 10.2.2.0 "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP210_series" = Canon MP210 series "{14AA72DA-DB40-4A34-93A6-401A81D7AF9E}" = Unreal Anthology "{17424F35-8B77-4ADF-BC63-BF9B81418539}" = Apple Application Support "{1B3A67B0-F54D-2F98-763C-B8E309135C38}" = Catalyst Control Center Localization Swedish "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{1F9B00FC-AD74-A45C-3E73-83CF895E9CD0}" = Catalyst Control Center Localization Spanish "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 22 "{29F482A1-9828-5830-1F96-798E75CB90EB}" = CCC Help French "{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour "{2B541619-4920-A88A-AEB6-C4E76672B726}" = ccc-utility "{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3 "{32A3A4F4-B792-11D6-A78A-00B0D0160030}" = Java(TM) SE Development Kit 6 Update 3 "{32AFDE70-6890-478B-BC92-8F3C76B8A77B}" = Branding "{37AF3415-B43F-FB0B-124B-4B207657DF66}" = Catalyst Control Center Localization Japanese "{38F2E726-1FF5-4AAB-96AD-CAB5079E8846}" = Autodesk DirectConnect 2010 "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3E5D1BD1-3451-15A7-D5EB-FB4C1C713C33}" = Catalyst Control Center Localization Chinese Standard "{3FB83D9B-35B3-44E2-639B-6839332BBB29}" = Catalyst Control Center Localization Portuguese "{4160DC5B-4C56-D0C3-C5FD-F5BDAD3C882B}" = ATI Catalyst Install Manager "{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth "{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis "{48FD4CEC-7ED7-5220-2032-E780075764E4}" = CCC Help Japanese "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{587601F9-A917-AE27-263A-0854BE106BE9}" = Catalyst Control Center Localization German "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{625309B9-9853-B259-CA17-DA4838E2D7C6}" = Catalyst Control Center Localization Dutch "{66E98E51-BFF9-5922-1316-7AF58170CA54}" = Catalyst Control Center Graphics Light "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{71C97813-ADFC-AA48-D24F-17E6CD41B413}" = Skins "{74EF2D1D-D3A6-3A56-1DD7-56A338BADD29}" = CCC Help Chinese Standard "{787AD427-7FEB-A87C-4C2E-C95610EF345B}" = Catalyst Control Center Core Implementation "{81CD6232-10F5-4832-B3DA-1B88B1571031}" = Nero 7 Essentials "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{8535028B-D4EE-B929-97A0-354013AE5D94}" = Catalyst Control Center Localization Korean "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007 "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{90120000-00B2-0409-0000-0000000FF1CE}" = Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1) "{9279B0F3-C831-7C50-9F07-73B1219322B6}" = Catalyst Control Center Localization Chinese Traditional "{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}" = FirstSteps Diagnostics "{94E89EFD-5841-17EA-4F69-37A5DA58A735}" = CCC Help Spanish "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9A983135-BB9F-6E62-F282-AD76BB9551FE}" = CCC Help English "{9AE73DF3-2349-A626-AE42-7959D7583E2B}" = Catalyst Control Center Graphics Full Existing "{A603BB91-F08F-025F-4158-E897DC29D037}" = Catalyst Control Center Localization French "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AA27D595-32F0-97EB-BC94-1ED22E7444A8}" = CCC Help Portuguese "{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X (10.0.1) - Deutsch "{BD8A0C60-1AEB-11D6-B8E1-00025521AE60}" = VBA (3821b) "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{C61E8F12-31F1-C2E6-DC0C-505CBF2BEE57}" = ccc-core-static "{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}" = Cisco Systems VPN Client 5.0.00.0340 "{CCC67B82-CD80-9C07-4C4A-D5B9C7137399}" = CCC Help Italian "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D2B49278-3321-FFBA-0F7C-127878A9CB5D}" = CCC Help Dutch "{D723FE60-F9EC-D688-0274-7BF2FF96E80A}" = Catalyst Control Center Graphics Full New "{E0BA659A-45CC-4EC2-AA1C-E73CAFC6408B}" = Autodesk Alias 2010 "{E1FA2D24-5633-83B3-3C72-FB3749DAF724}" = CCC Help Swedish "{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime "{E8843212-F0FC-4C3B-BFF3-D51829CB4F19}" = iTunes "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F5E23357-CDCE-0246-677C-8097DAA6F8C5}" = CCC Help Korean "{FA2B72B1-B29E-57FB-5AFB-74734AC3442E}" = Catalyst Control Center Graphics Previews Vista "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Akamai" = Akamai NetSession Interface "ATI Uninstaller" = ATI Uninstaller "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CanonMyPrinter" = Canon My Printer "CanonSolutionMenu" = Canon Utilities Solution Menu "Dassault Systemes B17_0" = Dassault Systemes Software B17 "DivX Setup.divx.com" = DivX-Setup "Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX "ENTERPRISE" = Microsoft Office Enterprise 2007 "IrfanView" = IrfanView (remove only) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de) "MP Navigator EX 1.0" = Canon MP Navigator EX 1.0 "Office8.0" = Microsoft Office 97, Professional Edition "OpenAL" = OpenAL "Revo Uninstaller" = Revo Uninstaller 1.92 "Starcraft" = Starcraft "Uninstall_is1" = Uninstall 1.0.0.1 "VLC media player" = VLC media player 1.1.4 "WinRAR archiver" = WinRAR ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 20.05.2011 16:25:33 | Computer Name = *****-PC | Source = WerSvc | ID = 5007 Description = Error - 20.05.2011 16:29:16 | Computer Name = *****-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083 Description = Error - 20.05.2011 18:26:58 | Computer Name = *****-PC | Source = Application Hang | ID = 1002 Description = Programm iTunes.exe, Version 10.1.0.54 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen. Prozess-ID: e04 Anfangszeit: 01cc172b60cc603f Zeitpunkt der Beendigung: 198 Error - 21.05.2011 05:58:27 | Computer Name = *****-PC | Source = WerSvc | ID = 5007 Description = Error - 22.05.2011 13:25:29 | Computer Name = *****-PC | Source = WerSvc | ID = 5007 Description = Error - 22.05.2011 14:11:14 | Computer Name = *****-PC | Source = VSS | ID = 12289 Description = Error - 22.05.2011 14:12:00 | Computer Name = *****-PC | Source = VSS | ID = 12289 Description = Error - 22.05.2011 14:22:40 | Computer Name = *****-PC | Source = WerSvc | ID = 5007 Description = Error - 22.05.2011 17:33:50 | Computer Name = *****-PC | Source = WerSvc | ID = 5007 Description = Error - 23.05.2011 04:26:00 | Computer Name = *****-PC | Source = WerSvc | ID = 5007 Description = [ OSession Events ] Error - 21.06.2009 10:30:10 | Computer Name = *****-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 14948 seconds with 2340 seconds of active time. This session ended with a crash. Error - 22.06.2009 12:33:19 | Computer Name = *****-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1726 seconds with 1200 seconds of active time. This session ended with a crash. Error - 22.06.2009 12:33:37 | Computer Name = *****-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1 seconds with 0 seconds of active time. This session ended with a crash. Error - 22.06.2009 12:38:17 | Computer Name = *****-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 131 seconds with 120 seconds of active time. This session ended with a crash. Error - 17.05.2011 17:07:43 | Computer Name = *****-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 3, Application Name: Microsoft Office PowerPoint, Application Version: 12.0.6211.1000, Microsoft Office Version: 12.0.6215.1000. This session lasted 12637 seconds with 7920 seconds of active time. This session ended with a crash. [ System Events ] Error - 22.05.2011 14:20:58 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 6, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. Error - 22.05.2011 14:27:27 | Computer Name = *****-PC | Source = Service Control Manager | ID = 7022 Description = Error - 22.05.2011 16:31:59 | Computer Name = *****-PC | Source = DCOM | ID = 10010 Description = Error - 22.05.2011 16:32:58 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 4, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. Error - 22.05.2011 16:32:58 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 7, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. Error - 22.05.2011 16:32:58 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 6, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. Error - 22.05.2011 17:56:15 | Computer Name = *****-PC | Source = DCOM | ID = 10010 Description = Error - 23.05.2011 04:40:35 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 4, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. Error - 23.05.2011 04:40:35 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 7, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. Error - 23.05.2011 04:40:35 | Computer Name = *****-PC | Source = ACPI | ID = 327686 Description = IRQARB: ACPI-BIOS enthält keinen IRQ für das Gerät im PCI-Steckplatz 6, Funktion 0. Wenden Sie sich an den Systemhersteller, um technische Unterstützung zu erhalten. < End of report > __________________________________________________________ und der zweite LogOTL Logfile: Code:
ATTFilter OTL logfile created on: 23.05.2011 10:59:03 - Run 2 OTL by OldTimer - Version 3.2.23.0 Folder = C:\Users\*****\Desktop Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.17037) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,87 Gb Total Physical Memory | 1,13 Gb Available Physical Memory | 60,35% Memory free 3,96 Gb Paging File | 3,01 Gb Available in Paging File | 75,92% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 92,21 Gb Total Space | 22,59 Gb Free Space | 24,50% Space Free | Partition Type: NTFS Drive D: | 45,12 Gb Total Space | 14,41 Gb Free Space | 31,93% Space Free | Partition Type: NTFS Computer Name: *****-PC | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\*****\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Adobe\Reader 10.0\Reader\AcroRd32.exe (Adobe Systems Incorporated) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation) PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) PRC - C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe (Fujitsu Siemens Computers) PRC - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe (Dassault Systemes) ========== Modules (SafeList) ========== MOD - C:\Users\*****\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (CLTNetCnService) -- File not found SRV - (Akamai) -- c:\Programme\Common Files\Akamai\netsession_win_8832f4b.dll () SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) SRV - (TestHandler) -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe (Fujitsu Siemens Computers) SRV - (BBDemon) -- C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe (Dassault Systemes) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys () DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (eeCtrl) -- C:\Programme\Common Files\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation) DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.) DRV - (JRAID) -- C:\Windows\system32\drivers\jraid.sys (JMicron Technology Corp.) DRV - (R300) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.) DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.) DRV - (RTL8169) -- C:\Windows\System32\drivers\Rtlh86.sys (Realtek Corporation) DRV - (smserial) -- C:\Windows\System32\drivers\smserial.sys (Motorola Inc.) DRV - (LUMDriver) -- C:\Windows\System32\drivers\LUMDriver.sys (IBM) DRV - (nvatabus) -- C:\Windows\system32\drivers\nvatabus.sys (NVIDIA Corporation) DRV - (JGOGO) -- C:\Windows\system32\drivers\jgogo.sys (JMicron ) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.search.update: false FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.web.de" FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004 FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=" FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.05.10 09:55:40 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.05.10 10:18:57 | 000,000,000 | ---D | M] [2009.12.30 22:36:46 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*****\AppData\Roaming\mozilla\Extensions [2011.05.10 09:55:53 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\08c08mrp.default\extensions [2010.04.27 23:12:18 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\08c08mrp.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.04.05 21:07:29 | 000,000,000 | ---D | M] (Move Media Player) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\08c08mrp.default\extensions\moveplayer@movenetworks.com [2010.04.27 23:12:18 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Users\*****\AppData\Roaming\mozilla\Firefox\Profiles\08c08mrp.default\extensions\youtube2mp3@mondayx.de [2009.05.13 20:09:38 | 000,000,950 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\08c08mrp.default\searchplugins\icqplugin-3.xml [2008.10.27 11:03:13 | 000,000,950 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\08c08mrp.default\searchplugins\icqplugin-4.xml [2008.11.16 20:41:10 | 000,000,950 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\08c08mrp.default\searchplugins\icqplugin-5.xml [2009.01.09 21:12:05 | 000,000,950 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\08c08mrp.default\searchplugins\icqplugin-6.xml [2008.02.19 19:16:46 | 000,000,951 | ---- | M] () -- C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\08c08mrp.default\searchplugins\icqplugin.xml [2010.10.23 13:39:57 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.04.30 19:34:49 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.26 17:14:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.10.23 13:39:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2007.09.05 06:27:38 | 000,000,000 | ---D | M] (Fujitsu-Siemens Settings) -- C:\Programme\Mozilla Firefox\extensions\fujitsu-siemens@partners.mozilla.com File not found (No name found) -- [2007.11.12 00:06:12 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} [2009.01.23 20:17:01 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} [2009.04.17 15:47:30 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} [2009.10.11 11:44:19 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} [2009.12.03 18:48:11 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} [2010.04.06 19:17:02 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} [2010.04.30 19:34:49 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.26 17:14:16 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.10.23 13:39:57 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.05.10 09:55:28 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll [2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2011.05.10 09:55:34 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2011.05.10 09:55:34 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml [2011.05.10 09:55:34 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.05.10 09:55:34 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2011.05.10 09:55:34 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2011.05.10 09:55:34 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found. O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [toolbar_eula_launcher] File not found O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [4W1W8B7A1IVJUZ4WRROJW] C:\Washer2.rar\Washer2.rar.exe (umck) O4 - HKCU..\Run: [StartCCC] c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe () O4 - Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Juice.lnk = File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} https://stream.web.de/mail/activex/mail_upload_11213.cab (Attachment Upload Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\*****\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\*****\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011.05.16 14:52:05 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ] O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{0f4a8162-5d84-11de-a66d-00059a3c7800}\Shell\AutoRun\command - "" = F:\Menu.exe O33 - MountPoints2\{6ce1c1e2-5664-11de-9c73-00030d7012bc}\Shell - "" = AutoRun O33 - MountPoints2\{6ce1c1e2-5664-11de-9c73-00030d7012bc}\Shell\AutoRun\command - "" = G:\SETUP.EXE O33 - MountPoints2\{6ce1c1e2-5664-11de-9c73-00030d7012bc}\Shell\configure\command - "" = G:\SETUP.EXE O33 - MountPoints2\{6ce1c1e2-5664-11de-9c73-00030d7012bc}\Shell\install\command - "" = G:\SETUP.EXE O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.05.23 10:26:53 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Malwarebytes [2011.05.23 10:26:05 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2011.05.23 10:26:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2011.05.23 10:26:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2011.05.23 10:26:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.05.23 10:26:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.05.23 10:10:36 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe [2011.05.23 10:05:43 | 000,000,000 | ---D | C] -- C:\Users\*****\Desktop\Reinigung [2011.05.23 10:04:58 | 007,734,208 | ---- | C] (Malwarebytes Corporation ) -- C:\Users\*****\Desktop\mbam-setup.exe [2011.05.22 22:54:02 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis [2011.05.22 22:54:01 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2011.05.22 22:38:31 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome [2011.05.19 12:04:05 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl [2011.05.16 15:31:51 | 000,000,000 | ---D | C] -- C:\FLEXlm [2011.05.16 15:13:15 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Autodesk Shared [2011.05.16 15:11:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk [2011.05.16 15:03:42 | 000,000,000 | ---D | C] -- C:\Programme\Autodesk [2011.05.16 15:03:42 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Alias Shared [2011.05.16 14:52:05 | 000,000,000 | ---D | C] -- C:\Autodesk [2011.05.10 10:18:05 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Adobe [2011.05.10 10:18:05 | 000,000,000 | ---D | C] -- C:\Programme\Adobe [2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.05.23 10:42:01 | 000,001,144 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2693447025-4147152315-2628106334-1000UA.job [2011.05.23 10:41:05 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2011.05.23 10:41:05 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2011.05.23 10:41:05 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2011.05.23 10:40:58 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.05.23 10:40:50 | 2011,283,456 | -HS- | M] () -- C:\hiberfil.sys [2011.05.23 10:26:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2011.05.23 10:10:40 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe [2011.05.23 10:05:09 | 007,734,208 | ---- | M] (Malwarebytes Corporation ) -- C:\Users\*****\Desktop\mbam-setup.exe [2011.05.22 22:42:00 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2693447025-4147152315-2628106334-1000Core.job [2011.05.19 14:04:48 | 000,693,848 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.05.19 14:04:48 | 000,654,600 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.05.19 14:04:48 | 000,137,946 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.05.19 14:04:48 | 000,120,936 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2011.05.19 12:04:05 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl [2011.05.17 00:19:03 | 000,241,664 | ---- | M] () -- C:\Users\*****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.05.04 20:27:06 | 002,318,411 | ---- | M] () -- C:\Users\*****\Desktop\Lebenslauf + Zeugnisse Stand 04.2011x.pdf [2011.05.04 20:18:49 | 000,076,383 | ---- | M] () -- C:\Users\*****\Desktop\StepStone - Ihr neuer Job bei Siemens.pdf [2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.05.22 22:37:16 | 000,001,144 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2693447025-4147152315-2628106334-1000UA.job [2011.05.22 22:37:15 | 000,001,092 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2693447025-4147152315-2628106334-1000Core.job [2011.05.10 10:18:57 | 000,001,804 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk [2011.05.10 09:55:42 | 000,000,864 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [2011.05.04 20:26:27 | 002,318,411 | ---- | C] () -- C:\Users\*****\Desktop\Lebenslauf + Zeugnisse Stand 04.2011x.pdf [2011.05.04 20:18:46 | 000,076,383 | ---- | C] () -- C:\Users\*****\Desktop\StepStone - Ihr neuer Job bei Siemens.pdf [2010.11.22 22:28:14 | 000,000,040 | ---- | C] () -- C:\ProgramData\ra3.ini [2010.06.03 16:00:15 | 000,024,206 | ---- | C] () -- C:\Users\*****\AppData\Roaming\UserTile.png [2010.04.18 19:28:28 | 000,000,680 | ---- | C] () -- C:\Users\*****\AppData\Local\d3d9caps.dat [2008.11.11 17:28:37 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2008.04.12 16:52:32 | 000,000,011 | ---- | C] () -- C:\Windows\exchng.ini [2008.04.12 16:52:31 | 000,000,967 | ---- | C] () -- C:\Windows\ODBCINST.INI [2008.04.12 16:52:31 | 000,000,028 | ---- | C] () -- C:\Windows\ODBC.INI [2007.12.08 19:33:22 | 000,000,618 | ---- | C] () -- C:\Windows\eReg.dat [2007.11.05 23:56:35 | 000,030,785 | ---- | C] () -- C:\Windows\scunin.dat [2007.10.03 15:51:24 | 000,008,482 | ---- | C] () -- C:\Users\*****\AppData\Roaming\wklnhst.dat [2007.10.01 17:48:06 | 000,241,664 | ---- | C] () -- C:\Users\*****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.09.05 06:17:59 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat [2007.09.05 06:17:59 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll [2007.09.05 06:17:58 | 000,128,813 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat [2007.09.05 06:13:25 | 000,135,168 | ---- | C] () -- C:\Windows\System32\property.dll [2007.04.03 17:18:26 | 000,197,672 | ---- | C] () -- C:\Windows\System32\vpnapi.dll [2006.11.02 17:33:31 | 000,693,848 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2006.11.02 17:33:31 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2006.11.02 17:33:31 | 000,137,946 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2006.11.02 17:33:31 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2006.11.02 14:47:37 | 000,404,768 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 12:33:01 | 000,654,600 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2006.11.02 12:33:01 | 000,120,936 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat [2006.11.02 09:22:43 | 000,099,999 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin [2006.11.02 09:22:43 | 000,018,271 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin [2006.08.11 09:52:02 | 000,012,288 | ---- | C] () -- C:\Windows\System32\EvOnlDiag.dll [1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\Windows\System32\VADE232.DLL [1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\Windows\System32\DOCOBJ.DLL [1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\Windows\System32\HLINKPRX.DLL ========== LOP Check ========== [2011.05.16 16:19:09 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\Autodesk [2008.06.23 18:04:33 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\Canon [2009.06.11 11:00:37 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\DAEMON Tools [2009.06.11 11:01:07 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\DAEMON Tools Lite [2009.06.11 11:00:37 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\DAEMON Tools Pro [2008.10.20 21:31:14 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\DassaultSystemes [2010.08.13 20:12:02 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\ICQ [2008.04.16 16:35:01 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\ICQ Toolbar [2011.03.16 20:49:23 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\iPodder [2007.11.15 13:37:23 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\JCreator [2010.06.03 16:00:15 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\PeerNetworking [2010.11.22 21:43:38 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\Red Alert 3 [2008.04.19 14:41:45 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\ScanSoft [2008.08.04 21:21:58 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\T-Online [2007.10.03 15:51:25 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\Template [2008.11.24 17:30:50 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\WEBDE [2011.05.23 10:39:56 | 000,032,620 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== < End of report > Wenn mir das jemand interpretieren könnte wäre ich sehr dankbar! Wenn weitere Schritte erforderlich sind, lasst es mich wissen. Ich hoffe ich hab die Forums-Regeln so einigermaßen eingehalten. Viele Grüße, Oli |
23.05.2011, 12:24 | #2 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe • Starte bitte die OTL.exe
__________________• Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL O4 - HKCU..\Run: [4W1W8B7A1IVJUZ4WRROJW] C:\Washer2.rar\Washer2.rar.exe (umck) :Files C:\Washer2.rar :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
23.05.2011, 13:19 | #3 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Super, das geht ja schnell hier. Vielen dank schonmal!
__________________Log: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\4W1W8B7A1IVJUZ4WRROJW deleted successfully. C:\Washer2.rar\Washer2.rar.exe moved successfully. ========== FILES ========== C:\Washer2.rar folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User: Default User User: ***** ->Flash cache emptied: 256660 bytes User: Public Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: ***** ->Temp folder emptied: 3289400265 bytes ->Temporary Internet Files folder emptied: 274715626 bytes ->Java cache emptied: 97369555 bytes ->FireFox cache emptied: 54143249 bytes ->Google Chrome cache emptied: 85544327 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 1610800 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 132652011 bytes RecycleBin emptied: 7734675 bytes Total Files Cleaned = 3.761,00 mb OTL by OldTimer - Version 3.2.23.0 log created on 05232011_135248 Files\Folders moved on Reboot... Registry entries deleted on Reboot... ________________________________________________________ Upload des verzippten Ordners "Moved Files" in den Uploadchannel ebenfalls durchgeführt. |
23.05.2011, 13:31 | #4 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe hi, machst du onlinebanking einkäufe oder sonst was wichtiges?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2011, 16:21 | #5 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Ja tue ich. Habe aber gestern gleich von einem anderen, sauberen Rechner aus (der aber am selben Router hängt - ist das ein Problem?) die Passwörter fürs e-banking sowie für onlineauktionshäuser geändert. Seitdem hab ich mich vom infizierten Rechner aus nicht mehr eingeloggt. Sollte ich dasselbe auch für foren, communities, e-mail-accounts etc. tun? |
23.05.2011, 16:28 | #6 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe hi, ja das solltest du. dieses system muss neu aufgesetzt werden. und diesmal vernünftig abgesichert, du hast da sehr fahrlässig gehandelt! sichere deine daten bitte und ich erkläre dir wies weiter geht. weist du wie man formatiert?
__________________ --> Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe |
23.05.2011, 16:40 | #7 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Sch*****! Ich muss mal ne Nacht drüber schlafen, System neu aufsetzen ist grad extrem ungünstig da ich mitten in meiner Abschlußarbeit des Studiums und dem Bewerbungen schreiben stecke. Was passiert im schlimmsten Fall wenn ich den Rechner noch 2 Monate so weiternutze? Muss ich damit rechnen, dass mir Daten verloren gehen? Muss ich mein Bankkonto sperren oder kann ich davon ausgehen, dass durch das geänderte Passwort alles sicher ist? Inwiefern meinst du dass ich fahrlässig gehandelt habe? Ich bin als Laie davon ausgegangen dass ich mit Avira sicher bin. Der Guard ist immer aktiv und up-to-date und ich habe etwa alle 2-3 Wochen einen vollständigen Systemscan durchgeführt. Und Downloads von dubiosen Seiten mache ich schon sehr lange nicht mehr. Was kann/ muss man noch tun dass so etwas nicht wieder passiert? Vielen, vielen Dank schonmal für deine Hilfe bis hier, Markus. Viele Grüße, Oli |
23.05.2011, 17:29 | #8 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe du solltest nicht lange überlegen. dieses system könnte zu straftaten wie DdoS angriffen etc genutzt werden. ein av ist natürlich nicht ausreichend, was meinst du warum die hersteller updates anbieten, weil sie nichts zu tun haben? :d jeden tag kommen 60000 und mehr schädlinge raus, hersteller schaffen signaturen für 10000 pro tag höchstens. ihr als nutzer, und insbesondere die die onlinebanking machen, seit in der pflicht eure pcs zu schützen, so ein pc wie deiner, ist nich nur ne gefahr für dich selbst, sondern auch für andere, stichwort spam versand, angriffe auf websites etc. das solltest du dir mal bewusst machen :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2011, 18:03 | #9 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Das leuchtet ein. Aber dennoch, was kann man denn tun um vor solchen Angriffen dauerhaft sicher zu sein? Ich werd mich wohl jetzt mal an die Arbeit machen. Ein paar Fragen habe ich aber noch: Daten sichern: Kann ich sicher sein dass pdf-, office-, jpg-, mp3- Dateien usw. nicht infiziert sind? D.h. wenn ich jetzt alles auf einer externen Platte sichere und nach der Windows-Neuinstallation wieder auf die lokalen Datenträger kopiere, ich nicht malware auf das neue System übertrage? exe-Dateien darf ich keinesfalls mitnehmen, oder? Formatieren: Hab ich mal vor langer Zeit an einem Uralt-Rechner gemacht, eine kurze Anleitung wäre super. Muss ich sonst noch etwas beachten? Danke für deine Geduld! |
23.05.2011, 18:29 | #10 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe wenn die mp3 dateien nicht aus tauschbörsten stammen ja, alles was aus tauschbörsen ist, ist potentiell unsicher, und nicht zu vrgessen illegal, alles was aus solchen quellen stammt, weg. der rest ist ok nutzt du ne windows cd, recovery cd oder recovery partition
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2011, 18:48 | #11 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Ich hab die original Windows Vista Recovery DVD. Die meisten mp3 die ich habe sind legal, aber es sind einige dabei die ich mit einem converter (z.B. youtube to mp3)geladen habe, wie ist da die Sicherheit einzustufen? Von illegalen Tauschbörsen hab ich gar nix. |
24.05.2011, 09:30 | #12 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Noch ne kurze Frage, kann es sein dass sich Viren über den Router auf andere Rechner ausbreiten?! Meinen Mitbewohner hats gestern nämlich auch erwischt... Sein Rechner fährt nun nicht mehr hoch nachdem sein Virenscanner nach einigen Aktionen einen Neustart durchführen wollte. Ich denke er wird sich hier auch bald melden... |
24.05.2011, 11:04 | #13 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe nein, das ist nicht möglich, und ja, sichere die mp3s wir prüfen die dann.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
24.05.2011, 13:36 | #14 |
| Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe Okay offenbar ist es bei ihm ein hardware-Problem nachdem der Rechner nicht einmal ins BIOS kommt. Ich hab jetzt soweit alles gesichert, Recovery DVD zur Hand, Drivers & Utilities DVD, auf einem USB-Stick Vista SP1 und SP2, Avira, malwarebytes und einen browser garantiert virenfrei abgelegt. Das sollte reichen um nach der Neuinstallation von Windows einen sicheren Internet-Start zu gewährleisten. Wie sieht es mit den mp3s aus, soll ich die im upload-center verzippt hochladen? Und wie siehts mit der Recovery von einer DVD aus aus, muss ich da irgendwelche Besonderheiten beachten? Okay wenn du mir grünes Licht gibst starte ich mit der Formatierung. Ich kann mich gar nicht oft genug bedanken, drum nochmal: Vielen herzlichen Dank an das ganze Team für den Support! Edit: Ich sehe grade in meinem Handbuch, dass bei der Windows-Neuinstallation mittels Recovery-DVD das Formatieren der Festplatten während dem Installationsprozess möglich ist unter "Laufwerksoptionen (erweitert)" bei Angabe des Installationspfades. Ich kenne nur die Möglichkeit im DOS über "format C:" (wie gesagt, ist schon ne Weile her dass ich das zuletzt tun musste, damals noch unter Win98). Geändert von Dudeness (24.05.2011 um 14:24 Uhr) |
24.05.2011, 16:24 | #15 |
/// Malware-holic | Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe nein das ist schon ok so unter den laufwerks optionen. danach gehts weiter hiermit: http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter vista /windows 7 und allgemeines abarbeiten! außerdem den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier: http://www.trojaner-board.de/127580-...igurieren.html denke die haben das beste gesammt angebot für kostenlose produkte. als browser opera. falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt. um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. wenn du online banking betreibst, lese den passenden abschnitt, die banken stellen card reader verbilligt zur verfügung. endere alle passwörter, prüfe deine daten mit avast.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe |
akamai, antivir, avira, bho, bonjour, canon, ccc.exe, desktop, entfernen, error, excel, excel.exe, flash player, google chrome, google earth, hijack, home, install.exe, jar_cache, logfile, microsoft office word, mom.exe, mozilla, mp3, nt.dll, oldtimer, otl-scan, plug-in, problem, programm, realtek, recycle.bin, registry, revo uninstaller, sched.exe, searchplugins, security, senden, shell32.dll, shortcut, software, sptd.sys, start menu, svchost.exe, verweise, virus, virus gefunden, windows |