Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE6 Fenster öffnet mit Werbung (https://www.trojaner-board.de/87887-ie6-fenster-oeffnet-werbung.html)

macos 07.07.2010 17:04
IE6 Fenster öffnet mit Werbung
 
Hi Leute,

ich habe winXP sp2 auf einem MacBook Pro mit Bootcamp laufen.
Seit kurzem öffnet sich ab und zu das IE6 Fenster (benutze FF) mit Werbung. Der IExplorer Prozess läuft im Hintergrund mit. Komischerweise wird der Wave lautstärkeregeler auch ab und zu auf 0 gesetzt.

HJT:
Code:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\TSLLkSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\WINDOWS\system32\IRW.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Boot Camp\KbdMgr.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\AppleOSSMgr.exe
C:\WINDOWS\system32\AppleTimeSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\root\Desktop\HiJackThis204.exe

O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartTSL] C:\WINDOWS\system32\StartTSL.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IRW] C:\WINDOWS\system32\IRW.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Apple_KbdMgr] C:\Programme\Boot Camp\KbdMgr.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple OS Switch Manager (AppleOSSMgr) - Unknown owner - C:\WINDOWS\system32\AppleOSSMgr.exe
O23 - Service: Apple-Time-Server (AppleTimeSrv) - Apple Inc. - C:\WINDOWS\system32\AppleTimeSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Transparent Screen Lock PRO Service (TSL PRO Lock Server) - e-motional.com a division of Esm Software - C:\WINDOWS\system32\TSLLkSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
Jemand eine Idee wie ich die adware wieder weg bekomme ohne das System zu löschen?

Danke und Gruß

markusg 07.07.2010 17:19
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide.

macos 07.07.2010 18:30
Hallo,

ich habe jetzt beide Dateien.
Wonach soll ich suchen? :confused:
Dort sind insg. über 1000 zeilen eingetragen.

markusg 07.07.2010 18:36
du solst nicht suchen, sondern die dateien posten.

macos 07.07.2010 19:02
OTL.txt:
Code:
OTL logfile created on: 07.07.2010 19:48:32 - Run 2
OTL by OldTimer - Version 3.2.7.1    Folder = C:\Dokumente und Einstellungen\root\Desktop\desk
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 141,11 Gb Total Space | 67,18 Gb Free Space | 47,61% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ADMIN-ROOT
Current User Name: root
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\root\Desktop\desk\OTL.exe (OldTimer Tools)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\COMODO\COMODO Internet Security\cfp.exe (COMODO)
PRC - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe (COMODO)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Winamp\winampa.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\M-AudioTaskBarIcon.exe (Avid Technology, Inc.)
PRC - C:\WINDOWS\system32\TSLLkSrv.exe (e-motional.com a division of Esm Software)
PRC - C:\Programme\Boot Camp\KbdMgr.exe (Apple Inc.)
PRC - C:\WINDOWS\system32\AppleTimeSrv.exe (Apple Inc.)
PRC - C:\WINDOWS\system32\AppleOSSMgr.exe ()
PRC - C:\WINDOWS\system32\IRW.exe (Apple Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\root\Desktop\desk\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\guard32.dll (COMODO)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software)
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
SRV - (cmdAgent) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe (COMODO)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TSL PRO Lock Server) -- C:\WINDOWS\system32\TSLLkSrv.exe (e-motional.com a division of Esm Software)
SRV - (AppleTimeSrv) -- C:\WINDOWS\system32\AppleTimeSrv.exe (Apple Inc.)
SRV - (AppleOSSMgr) -- C:\WINDOWS\system32\AppleOSSMgr.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SANDRA) -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\WNt500x86\Sandra.sys File not found
DRV - (RTL8187B) -- C:\WINDOWS\System32\DRIVERS\wg111v3.sys File not found
DRV - (PCASp50) -- C:\WINDOWS\System32\Drivers\PCASp50.sys File not found
DRV - (Lbd) -- C:\WINDOWS\System32\DRIVERS\Lbd.sys File not found
DRV - (hwdatacard) -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (Inspect) -- C:\WINDOWS\System32\DRIVERS\inspect.sys (COMODO)
DRV - (cmdHlp) -- C:\WINDOWS\system32\drivers\cmdhlp.sys (COMODO)
DRV - (cmdGuard) -- C:\WINDOWS\system32\drivers\cmdguard.sys (COMODO)
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (MAUSBTZ) Service for M-Audio Transit (WDM) -- C:\WINDOWS\system32\drivers\mausbts.sys (Avid Technology, Inc.)
DRV - (MADFUTS) -- C:\WINDOWS\system32\drivers\madfuts.sys (M-Audio)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corp.)
DRV - (KeyAgent) -- C:\WINDOWS\system32\drivers\KeyAgent.sys (Apple Inc.)
DRV - (IRRemoteFlt) -- C:\WINDOWS\system32\drivers\IRFilter.sys (Apple Inc.)
DRV - (applemtp) -- C:\WINDOWS\system32\drivers\applemtp.sys (Apple Inc.)
DRV - (applemtm) -- C:\WINDOWS\system32\drivers\applemtm.sys (Apple Inc.)
DRV - (KeyMagic) -- C:\WINDOWS\system32\drivers\KeyMagic.sys (Apple Inc.)
DRV - (MacHALDriver) -- C:\WINDOWS\system32\drivers\MacHALDriver.sys (Apple Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (Tcpip6) -- C:\WINDOWS\system32\drivers\tcpip6.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKU\S-1-5-21-2052111302-484763869-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: aardvark@rob.brown:3.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2
FF - prefs.js..extensions.enabledItems: {6AC85730-7D0F-4de0-B3FA-21142DD85326}:2.0.2.1
FF - prefs.js..extensions.enabledItems: {8be51513-0433-45c1-9203-7b45019df871}:1.0.3
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.6.8
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.4.5
FF - prefs.js..extensions.enabledItems: {ca8b7b3d-b6e6-438f-b935-601b3de48d66}:1.1.6
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.13
FF - prefs.js..extensions.enabledItems: {22832dda-1de6-4443-9ab5-d34214b03347}:2.3.1
FF - prefs.js..extensions.enabledItems: {3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}:0.8.5.8
FF - prefs.js..extensions.enabledItems: {1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}:0.4.4
FF - prefs.js..extensions.enabledItems: itsalltext@docwhat.gerf.org:1.3.1
FF - prefs.js..extensions.enabledItems: {75CEEE46-9B64-46f8-94BF-54012DE155F0}:0.4
FF - prefs.js..extensions.enabledItems: {46868735-c3fa-47ce-8ce7-cce51a66aceb}:1.2
FF - prefs.js..extensions.enabledItems: resizeabletextarea@bristol.ac.uk:0.1d
FF - prefs.js..extensions.enabledItems: {86009AEF-9162-4EBC-B698-FF71D7B6B049}:1.0
FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.4
FF - prefs.js..extensions.enabledItems: typo3workbench@visionconnect.de:0.6.5
FF - prefs.js..extensions.enabledItems: {c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8
FF - prefs.js..extensions.enabledItems: {3f1182ea-3243-4d32-8826-71fb1cc9c328}:0.9.1
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.27 12:21:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.12 11:30:53 | 000,000,000 | ---D | M]
 
[2009.09.21 02:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Extensions
[2010.07.07 11:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions
[2010.02.10 16:48:19 | 000,000,000 | ---D | M] (Image Zoom) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}
[2010.01.22 02:19:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{22832dda-1de6-4443-9ab5-d34214b03347}
[2009.09.21 16:36:32 | 000,000,000 | ---D | M] (Html Validator) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}
[2010.03.18 09:48:23 | 000,000,000 | ---D | M] (Flashblock) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2009.12.02 21:42:12 | 000,000,000 | ---D | M] (X-Ray) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{3f1182ea-3243-4d32-8826-71fb1cc9c328}
[2009.09.21 16:36:08 | 000,000,000 | ---D | M] (oldbar) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{46868735-c3fa-47ce-8ce7-cce51a66aceb}
[2009.10.12 18:15:46 | 000,000,000 | ---D | M] (ColorZilla) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}
[2010.05.04 21:00:48 | 000,000,000 | ---D | M] (MeasureIt) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
[2009.10.12 21:12:52 | 000,000,000 | ---D | M] (CSSViewer) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{8be51513-0433-45c1-9203-7b45019df871}
[2010.02.11 19:50:50 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
[2009.09.21 16:36:08 | 000,000,000 | ---D | M] (Web Developer) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010.03.18 09:48:25 | 000,000,000 | ---D | M] (Firefox Throttle) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{ca8b7b3d-b6e6-438f-b935-601b3de48d66}
[2010.04.30 19:15:22 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.13 12:29:35 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010.06.17 22:46:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\{dc572301-7619-498c-a57d-39143191b318}
[2010.02.07 03:49:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\aardvark@rob.brown
[2010.02.03 02:55:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\cache@status.org
[2009.11.05 19:06:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\firebug@software.joehewitt.com
[2010.04.09 19:07:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\flashbug@coursevector.com
[2009.12.02 21:42:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\itsalltext@docwhat.gerf.org
[2009.12.02 21:42:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\resizeabletextarea@bristol.ac.uk
[2010.01.20 21:05:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\76zfwqll.default\extensions\typo3workbench@visionconnect.de
[2010.07.07 11:59:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.10.31 19:49:48 | 000,000,000 | ---D | M] (SeekService) -- C:\Programme\Mozilla Firefox\extensions\{86009AEF-9162-4EBC-B698-FF71D7B6B049}
[2009.09.21 18:06:19 | 000,072,960 | ---- | M] (Foxit Software Company) -- C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.07 19:15:25 | 000,000,818 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (IE Developer Toolbar BHO) - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Apple_KbdMgr] C:\Programme\Boot Camp\KbdMgr.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [IRW] C:\WINDOWS\system32\IRW.exe (Apple Inc.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe (Avid Technology, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [StartTSL] C:\WINDOWS\system32\StartTSL.exe (e-motional.com a division of Esm Software)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoTrayItemsDisplay = 0
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
O7 - HKU\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.220.18.8 192.168.0.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINDOWS\system32\guard32.dll) - C:\WINDOWS\system32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.09.20 23:26:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{53d1a778-672c-11df-a844-001ec2b9404b}\Shell - "" = AutoRun
O33 - MountPoints2\{53d1a778-672c-11df-a844-001ec2b9404b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{53d1a778-672c-11df-a844-001ec2b9404b}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{be7e6144-5f69-11df-a816-001ec2b9404b}\Shell - "" = AutoRun
O33 - MountPoints2\{be7e6144-5f69-11df-a816-001ec2b9404b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{be7e6144-5f69-11df-a816-001ec2b9404b}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{be7e6147-5f69-11df-a816-001ec2b9404b}\Shell - "" = AutoRun
O33 - MountPoints2\{be7e6147-5f69-11df-a816-001ec2b9404b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{be7e6147-5f69-11df-a816-001ec2b9404b}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{d47f2981-59f4-11df-a7fc-001ec2198c14}\Shell - "" = AutoRun
O33 - MountPoints2\{d47f2981-59f4-11df-a7fc-001ec2198c14}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d47f2981-59f4-11df-a7fc-001ec2198c14}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{df440556-59ff-11df-a7fd-001ec2198c14}\Shell - "" = AutoRun
O33 - MountPoints2\{df440556-59ff-11df-a7fd-001ec2198c14}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{df440556-59ff-11df-a7fd-001ec2198c14}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{df44055a-59ff-11df-a7fd-001ec2198c14}\Shell - "" = AutoRun
O33 - MountPoints2\{df44055a-59ff-11df-a7fd-001ec2198c14}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{df44055a-59ff-11df-a7fd-001ec2198c14}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.07 13:57:29 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware
[2010.07.06 19:42:23 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
[2010.07.06 19:41:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
[2010.07.06 13:56:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.07.06 13:56:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\root\Eigene Dateien\Simply Super Software
[2010.07.06 13:55:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Simply Super Software
[2010.07.06 13:36:57 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.07.06 13:30:33 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.07.06 13:30:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.06.12 01:47:26 | 000,000,000 | ---D | C] -- C:\Programme\JetBrains
[2010.06.09 15:28:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Canneverbe Limited
[2010.06.09 15:28:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.07 19:47:22 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.07 19:47:21 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.07 19:47:10 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.07 19:46:08 | 008,650,752 | -H-- | M] () -- C:\Dokumente und Einstellungen\root\NTUSER.DAT
[2010.07.07 19:46:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\root\ntuser.ini
[2010.07.07 19:45:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.07 19:15:25 | 000,000,818 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.07 17:33:28 | 000,000,477 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.07 17:33:28 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.07 17:33:28 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.07.06 19:42:09 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.07.06 18:43:15 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.07.06 13:36:52 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.07.06 12:00:33 | 000,010,858 | ---- | M] () -- C:\WINDOWS\Q-Dir.ini
[2010.06.22 21:28:36 | 000,043,520 | ---- | M] () -- C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.21 18:18:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.06.20 16:21:21 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.12 01:30:01 | 082,096,824 | ---- | M] () -- C:\ideaIC-9.0.2.exe
[4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.06 13:33:59 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.06.12 01:28:12 | 082,096,824 | ---- | C] () -- C:\ideaIC-9.0.2.exe
[2010.05.31 23:42:42 | 000,000,366 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2009.11.19 16:34:12 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\Desktop_.ini
[2009.11.02 21:25:31 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.11.02 15:53:04 | 000,079,768 | ---- | C] () -- C:\WINDOWS\System32\TSLHTM2.dll
[2009.10.26 19:29:41 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.10.26 19:29:41 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.10.18 21:00:52 | 000,000,062 | ---- | C] () -- C:\WINDOWS\AVI2MPEG.ini
[2009.09.24 22:45:18 | 000,000,130 | ---- | C] () -- C:\WINDOWS\cfplogvw.INI
[2009.09.22 17:43:11 | 000,010,858 | ---- | C] () -- C:\WINDOWS\Q-Dir.ini
[2009.09.21 18:14:40 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.09.21 16:50:19 | 002,463,976 | ---- | C] () -- C:\WINDOWS\System32\NPSWF32.dll
[2009.09.20 23:38:59 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009.09.20 23:38:59 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009.09.20 23:38:58 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009.09.20 23:38:56 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2009.09.20 23:38:55 | 001,482,752 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2004.08.04 00:57:22 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004.07.17 11:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001.03.14 06:22:21 | 000,000,080 | --S- | C] () -- C:\WINDOWS\System32\argtmp39.dll
 
========== LOP Check ==========
 
[2009.09.22 19:02:00 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.nusphere
[2009.11.19 16:33:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Broadcom
[2010.05.31 23:34:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2010.06.09 15:28:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2009.09.29 03:11:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TechSmith
[2010.07.06 13:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.02.23 18:52:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.05.07 19:50:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2010.07.05 13:50:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zoom Player
[2010.02.23 18:52:09 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.05.07 19:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Vodafone
[2009.10.14 15:11:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\ArGoSoft
[2009.10.08 16:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Audio Record Edit Toolbox
[2009.10.22 18:55:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Audio Record Edit Toolbox Pro
[2009.10.08 16:01:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Audio Recorder for Free
[2009.10.17 16:51:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Auslogics
[2010.05.31 23:34:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Buhl Data Service
[2010.06.09 15:28:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Canneverbe Limited
[2010.05.05 20:01:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\FileZilla
[2009.09.21 18:06:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Foxit
[2009.10.26 20:29:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\GetRightToGo
[2009.09.22 17:27:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\GHISLER
[2009.09.29 02:48:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\IrfanView
[2009.10.29 16:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Miranda
[2009.12.23 03:27:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\nl.demonsters.debugger.E334F8D7F2378D71EF2F522DAC01AD396D8F452E.1
[2010.02.24 23:53:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Notepad++
[2009.09.22 19:01:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\NuSphere
[2009.10.03 21:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Opera
[2009.10.10 23:47:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\PhraseExpress
[2010.02.20 04:42:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Q-Dir
[2010.07.06 13:55:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Simply Super Software
[2010.02.23 18:53:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\TuneUp Software
[2010.05.07 19:40:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\Vodafone
[2010.03.27 14:21:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\root\Anwendungsdaten\WaterProof
[2010.07.06 18:43:15 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 80 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sdpsenv.dat:naughtypirates
@Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9
< End of report >
Extras.txt
Code:
OTL Extras logfile created on: 07.07.2010 19:48:32 - Run 2
OTL by OldTimer - Version 3.2.7.1    Folder = C:\Dokumente und Einstellungen\root\Desktop\desk
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 141,11 Gb Total Space | 67,18 Gb Free Space | 47,61% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ADMIN-ROOT
Current User Name: root
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url [@ = InternetShortcut] -- C:\WINDOWS\system32\ieframe.DLL File not found
 
[HKEY_USERS\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
InternetShortcut [open] -- "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\ieframe.dll",OpenURL %l File not found
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\xampp\apache\bin\apache.exe" = C:\Programme\xampp\apache\bin\apache.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\xampp\mysql\bin\mysqld.exe" = C:\Programme\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"C:\Programme\PhraseExpress\phraseexpress.exe" = C:\Programme\PhraseExpress\phraseexpress.exe:*:Enabled:PhraseExpress -- (Bartels Media)
"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
"C:\Programme\NuSphere\PhpED\php\php.exe" = C:\Programme\NuSphere\PhpED\php\php.exe:*:Enabled:php4-cgi -- (The PHP Group)
"C:\Programme\NuSphere\PhpED\php\php-cli.exe" = C:\Programme\NuSphere\PhpED\php\php-cli.exe:*:Enabled:php4-cli -- (The PHP Group)
"C:\Programme\NuSphere\PhpED\php5\php-cgi.exe" = C:\Programme\NuSphere\PhpED\php5\php-cgi.exe:*:Enabled:php5-cgi -- (The PHP Group)
"C:\Programme\NuSphere\PhpED\php5\php.exe" = C:\Programme\NuSphere\PhpED\php5\php.exe:*:Enabled:php5-cli -- (The PHP Group)
"C:\Programme\NuSphere\PhpED\php53\php-cgi.exe" = C:\Programme\NuSphere\PhpED\php53\php-cgi.exe:*:Enabled:php53-cgi -- (The PHP Group)
"C:\Programme\NuSphere\PhpED\php53\php.exe" = C:\Programme\NuSphere\PhpED\php53\php.exe:*:Enabled:php53-cli -- (The PHP Group)
"C:\Programme\NuSphere\PhpED\Srv.exe" = C:\Programme\NuSphere\PhpED\Srv.exe:*:Enabled:NuSphere PhpED SRV web server -- (NuSphere Corp.)
"C:\Programme\NuSphere\PhpED\debugger\DbgListener.exe" = C:\Programme\NuSphere\PhpED\debugger\DbgListener.exe:*:Enabled:NuSphere PhpED Dbg Listener -- (NuSphere Corp., hxxp://www.nusphere.com/)
"C:\Programme\NuSphere\PhpED\phped.exe" = C:\Programme\NuSphere\PhpED\phped.exe:*:Enabled:NuSphere PhpED Embedded browser -- (NuSphere Corp.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{008F9A3A-24A0-408B-AD7F-95C414219A00}" = Adobe Setup
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{29F05234-DCBB-4FE0-88DC-5160C9250312}" = Adobe Photoshop CS3
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}" = Adobe Dreamweaver CS3
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7D386596-0E80-4808-8AAE-C1DDA8212F7F}" = Adobe Setup
"{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4}" = Zune Desktop Theme
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{802771A9-A856-4A41-ACF7-1450E523C923}" = Adobe XMP Panels CS3
"{8C640345-AF96-4ABA-A697-97D2A0B8C6DB}" = Adobe Flash CS3
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AF71D670-E7DD-47D9-8008-9C19DAA662E4}" = Transit
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B440D659-FECA-4BDD-A12B-5C9F05790FF3}" = Snagit 9.1.2
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B7F071BE-77E6-642E-8139-897951E04EAE}" = De MonsterDebugger
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BCEDD813-269C-4D8F-A4BA-01FDC66254D3}" = Adobe Flash Video Encoder
"{BE5F3842-8309-4754-92D5-83E02E6077A3}" = Adobe Extension Manager CS3
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D25B1C1C-E629-4E85-A5AE-BA60BB1B420B}" = Style Master 4.5.1
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"{E56D39F8-2A9F-44B4-B068-A72E45A073E6}" = Safari
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E7081891-BC7F-43F9-9CE6-B5DD2F497156}" = Internet Explorer Developer Toolbar
"{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}" = Adobe Setup
"{F0E45628-1218-4865-A516-8E8A54272ADC}" = Boot Camp-Dienste
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FD232850-1384-4056-95FC-E57FA2E0FBB0}" = ArGoSoft Mail Server .NET Freeware
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"144A90A8644F24BDCA0607CBAE7F90C2F5427DA4" = Windows-Treiberpaket - Apple Inc. Apple Multitouch (12/18/2007 2.0.1.10)
"15749019150B76CBADCF00B88C88E85C16A26FF1" = Windows-Treiberpaket - Apple Inc. (applebt) Bluetooth  (11/13/2007 2.0.1.5)
"18BB9B0552BA675902E31409A34F929D9C9AD56C" = Windows-Treiberpaket - Intel (e1express) Net  (04/03/2006 9.3.39.0)
"2CA2C2712E3120F27F44A38A6FA5540D9A93CA01" = Windows-Treiberpaket - Apple Inc. Apple IR Receiver (11/01/2007 2.0.1.1)
"5F8BE32FAE3D6BC77B512F7B0624D7B6C8A26EFB" = Windows-Treiberpaket - Apple Inc. Apple Bluetooth Enabler (06/27/2007 2.0.0.1)
"6AB59209597E0F6B986EC8E976521FDF0A696C9D" = Windows-Treiberpaket - Marvell (yukonwxp) Net  (03/23/2007 10.12.7.3)
"80087CDF19A4CE2FBB535E7DC99A0E50FFA25589" = Windows-Treiberpaket - Intel (E1000) Net  (01/06/2006 8.6.17.0)
"82BE89CA9B7493FA05D2D4D32B415CF07EA08B47" = Windows-Treiberpaket - Intel System  (07/20/2007 1.2.76.0)
"9324ED54E32F5399037F87E076CA01C6CEB92830" = Windows-Treiberpaket - Apple Inc. Apple Built-in iSight (10/25/2007 2.0.1.0)
"992615C0D0002C27AA3BB336C66D1E7764047A51" = Windows-Treiberpaket - Apple Inc. Apple Trackpad (10/09/2007 2.0.1.5)
"AD3493E108434977125BBF78F47699626F8AF64B" = Windows-Treiberpaket - Apple Inc. (AppleUSBEthernet) Net  (01/11/2008 3.4.3.18)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Flex Builder 3" = Adobe Flex Builder 3
"Adobe_2225677e524ae91efb80c700be972bf" = Adobe Flash CS3 Professional
"Adobe_25db75244653b42cb93dc27939d1c0e" = Adobe Dreamweaver CS3
"Adobe_5f143314a5d434c8511097393d17397" = Adobe Photoshop CS3
"Agent Ransack_is1" = Agent Ransack Version 1.7.3
"Audio Record Edit Toolbox Pro" = Audio Record Edit Toolbox Pro
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"C71CD722DD357F78301EAEA028431241C2D91890" = Windows-Treiberpaket - Apple Inc. System  (09/12/2007 2.0.1.1)
"CCleaner" = CCleaner
"CDex" = CDex extraction audio
"CE031DF97C704035E8B6E570362ABD337ACA4BA5" = Windows-Treiberpaket - Atheros (AR5211) Net  (04/05/2007 5.3.0.35)
"COMODO Internet Security" = COMODO Internet Security
"CSELITE65_is1" = CSE HTML Validator Lite v6.52
"D1E46C4F35C591B14E31349A9EDA8227C5F0E966" = Windows-Treiberpaket - Apple Inc. Apple Trackpad Enabler (10/09/2007 2.0.1.5)
"D3BCC671821E117ACD653C1AA146540791143F25" = Windows-Treiberpaket - Apple Inc. Apple Display (12/19/2007 2.0.2.0)
"D66D0ACEFE4E32CCDF30362ACBB3EAEFB97E9FDE" = Windows-Treiberpaket - Atheros (AR5416) Net  (06/26/2007 6.0.3.94)
"D922ADD1498E7464ED76231D79D703FC1320C80C" = Windows-Treiberpaket - Broadcom (BCM43XX) Net  (09/20/2007 4.170.25.12)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"F5A89004299B5282B8B5D7D9F7253FF13C58628F" = Windows-Treiberpaket - Apple Inc. Apple Multitouch Mouse (12/18/2007 2.0.1.10)
"F8438DF02326129F7A78E93130D90DA5C4F3D359" = Windows-Treiberpaket - Apple Inc. Apple Keyboard (12/18/2007 2.0.2.3)
"FinePrint" = FinePrint
"FlashDevelop" = FlashDevelop 3.0.6
"Foxit Reader" = Foxit Reader
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"iecollection_is1" = Internet Explorer Collection 1.6.0.1
"IrfanView" = IrfanView (remove only)
"IsoBuster_is1" = IsoBuster 2.7
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Mozilla Embedded Browser_is1" = Mozilla Embedded Browser version 3.5
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MWSnap 3" = MWSnap 3
"Native Instruments Guitar Rig 3" = Native Instruments Guitar Rig 3
"nl.demonsters.debugger.E334F8D7F2378D71EF2F522DAC01AD396D8F452E.1" = De MonsterDebugger
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Notepad++" = Notepad++
"NuSphere PhpED_is1" = NuSphere PhpED version 5.9
"NVIDIA Drivers" = NVIDIA Drivers
"PHP Documentor_is1" = Php Documentor version 1.4.2 for NuSphere PhpED
"PHP_is1" = php-4.4.9 for NuSphere PhpED
"PHP5_is1" = php-5.2.11 for NuSphere PhpED
"PHP53_is1" = php-5.3.0 for NuSphere PhpED
"PhraseExpress_is1" = PhraseExpress v6.0.158
"POLYSTYLE_is1" = Polystyle 2.0zo (trial) for NuSphere PhpED
"PSPad editor_is1" = PSPad editor
"Q-Dir" = Q-Dir
"Riva FLV Encoder 2.0_is1" = Riva FLV Encoder 2.0
"Totalcmd" = Total Commander (Remove or Repair)
"Transparent Screen Lock PRO for Windows 2000, XP~D791C668_is1" = Transparent Screen Lock PRO for Windows 2000, XP, 2003, Vista 
"TuneUp Utilities" = TuneUp Utilities
"VLC media player" = VLC media player 1.0.5
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinMerge_is1" = WinMerge 2.12.4
"WinRAR archiver" = WinRAR
"WinUAE" = WinUAE v0.8.8 R7
"xampp" = XAMPP 1.6.7
"xp-AntiSpy" = xp-AntiSpy 3.97-3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Xvid_is1" = Xvid 1.2.2 final uninstall
"ZoomPlayer" = Zoom Player (remove only)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2052111302-484763869-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.3.0.1
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 07.07.2010 13:20:01 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1508
Description = Die Registrierung konnte nicht geladen werden. Dies wird oft durch
 zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht.
      Details - Die Datenbank der Konfigurationsregistrierung ist beschädigt.  for C:\Dokumente
 und Einstellungen\NetworkService\ntuser.dat
 
Error - 07.07.2010 13:20:01 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1510
Description = Das Profil konnte nicht geladen werden, weil es möglicherweise beschädigt
 ist. Wenden Sie sich an den Administrator.
 
Error - 07.07.2010 13:20:01 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1515
Description = Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung
dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.
 
Error - 07.07.2010 13:20:01 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1511
Description = Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem
 temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen,
 gehen bei der Abmeldung verloren.
 
Error - 07.07.2010 13:20:16 | Computer Name = ADMIN-ROOT | Source = PerfNet | ID = 2002
Description = Der Redirectordienst konnte nicht geöffnet werden. Die Redirectorleistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 07.07.2010 13:47:19 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1508
Description = Die Registrierung konnte nicht geladen werden. Dies wird oft durch
 zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht.
      Details - Die Datenbank der Konfigurationsregistrierung ist beschädigt.  for C:\Dokumente
 und Einstellungen\NetworkService\ntuser.dat
 
Error - 07.07.2010 13:47:19 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1510
Description = Das Profil konnte nicht geladen werden, weil es möglicherweise beschädigt
 ist. Wenden Sie sich an den Administrator.
 
Error - 07.07.2010 13:47:19 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1515
Description = Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung
dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.
 
Error - 07.07.2010 13:47:19 | Computer Name = ADMIN-ROOT | Source = Userenv | ID = 1511
Description = Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem
 temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen,
 gehen bei der Abmeldung verloren.
 
Error - 07.07.2010 13:47:31 | Computer Name = ADMIN-ROOT | Source = PerfNet | ID = 2002
Description = Der Redirectordienst konnte nicht geöffnet werden. Die Redirectorleistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 07.07.2010 11:05:48 | Computer Name = ADMIN-ROOT | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
 innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
 oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
 Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
 Transaktion durchzuführen.
 
Error - 07.07.2010 11:05:50 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet:  %%1747
 
Error - 07.07.2010 11:05:55 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Lbd
 
Error - 07.07.2010 11:34:44 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet:  %%1747
 
Error - 07.07.2010 11:34:52 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Lbd
 
Error - 07.07.2010 13:20:08 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet:  %%1747
 
Error - 07.07.2010 13:20:10 | Computer Name = ADMIN-ROOT | Source = ACPIEC | ID = 327681
Description = \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat nicht
 innerhalb des Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware
 oder -Firmware bzw. auf ein schlecht angelegtes BIOS hin, das auf nicht sichere
 Art und Weise auf den EC zugreift. Der EC-Treiber wird erneut versuchen, die fehlgeschlagene
 Transaktion durchzuführen.
 
Error - 07.07.2010 13:20:15 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Lbd
 
Error - 07.07.2010 13:47:24 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet:  %%1747
 
Error - 07.07.2010 13:47:33 | Computer Name = ADMIN-ROOT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Lbd
 
 
< End of report >

markusg 07.07.2010 19:16
download bootkit remover

esage lab - resources
entpacke ihn in einen eigenen ordner
doppelklick remover.exe
poste das ergebniss.

macos 08.07.2010 10:00
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo,

leider klappt es mit remover nicht (manuell auch nicht) - s. Screens. Ich habe ein Apple Macbook auf dem Bootcamp ist , damit kann man dann auf der 2ten Partition XP installieren. Das erste Betriebsystem ist aber mac OS. Erkennt das Prog wahrscheinlich nicht.

Hier haben wohl sehr viele User das gleiche Problem mit dem IE Popup Fenster und das deaktiveren des Sound Reglers.
Gibt es eine andere möglichkeit den trojaner loszuwerden. (Adaware, Search & Destroy, Trojan remover hat leider nichts gefunden)

Please Help. :heulen:

Breedfight 08.07.2010 10:15
bootsektor überschreiben, und neu aufsetzen wenn nicht hilft

markusg 08.07.2010 10:48
hast du eine windows cd zur hand?

macos 08.07.2010 13:40
Zitat:
Zitat von markusg (Beitrag 539939)
hast du eine windows cd zur hand?
Ja, hab ich. Was soll ich tun? Will nicht das ganze system neu aufsetzen. :heulen:

markusg 08.07.2010 13:53
bitte erstelle ne datensicherung, falls es zu problemen kommt.
pc von windows cd starten. dann rettungskonsole mit drücken durch r aufrufen
an windows instalation anmelden, dort folgendes eingeben.
fixmbr
enter
evtl. nachfrage mit y für "yes bestätigen
enter
exit
enter.
cd raus nehmen, pc neu starten
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131