Trojaner-Board - DR/Kraddare.A verantwortlich für Land-Attacken ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - DR/Kraddare.A verantwortlich für Land-Attacken ? (https://www.trojaner-board.de/89692-dr-kraddare-a-verantwortlich-land-attacken.html)

DR/Kraddare.A verantwortlich für Land-Attacken ?

Hi,

Seit ein paar Tagen habe ich das Problem, dass ICQ 7.2 einfach offline und nach ein paar sekunden wieder selbstständig online geht. Auch beim Spielen bricht die Verbindung kurzzeitig zusammen, da war es aber bis jetz nur 2 mal. Bei ICQ ist es relativ häufig.

Dann hab ich im Log meines Routers folgenden Eintrag sehr oft entdeckt:

2010-08-17 22:04:31 **LAND** <meine ip>, 3989->> <meine ip>, 80 (from PPPoE1 Inbound)

Der erste Port (3989) ist dabei bei jedem Eintrag unterschiedlich (von 1100 bis 3990 oder auch andere), die zweite Portangabe ist aber stets 80. ich hab gelesen, dass Port 80 vom Webbrowser benutzt wird?

Weiterhin las ich, dass es sich dabei um eine alte DoS-Attacke handelt, bei der Datenpakete so manipuliert werden, sodass Absender = Empfänger ist. So kommt es zu einem Denial of Service......also die Verbindung bricht ab, was bei mir ja der Fall ist.

Ein kompletter System-Scan mit Avira Antivir machte dann den Schädling DR\Kaddare.A ausfindig :

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Mittwoch, 18. August 2010  12:13
 

Es wird nach 2725878 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : ***
 

Versionsinformationen:

BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00

AVSCAN.EXE     : 10.0.3.0      433832 Bytes  19.04.2010 11:50:36

AVSCAN.DLL     : 10.0.3.0       56168 Bytes  19.04.2010 11:50:36

LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59

LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:42:26

VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:42:26

VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 08:27:37

VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 19:40:53

VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 11:58:30

VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 19:38:31

VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 17:28:45

VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 15:20:51

VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 15:20:51

VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 15:20:52

VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 15:20:52

VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 15:20:52

VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 15:20:53

VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 08:46:02

VBASE014.VDF   : 7.10.9.255    997888 Bytes  29.07.2010 11:25:32

VBASE015.VDF   : 7.10.10.28    139264 Bytes  02.08.2010 10:19:32

VBASE016.VDF   : 7.10.10.52    127488 Bytes  03.08.2010 10:19:33

VBASE017.VDF   : 7.10.10.84    137728 Bytes  06.08.2010 11:21:27

VBASE018.VDF   : 7.10.10.107   176640 Bytes  09.08.2010 12:56:35

VBASE019.VDF   : 7.10.10.130   132608 Bytes  10.08.2010 12:56:37

VBASE020.VDF   : 7.10.10.158   131072 Bytes  12.08.2010 16:47:14

VBASE021.VDF   : 7.10.10.190   136704 Bytes  16.08.2010 16:47:15

VBASE022.VDF   : 7.10.10.191     2048 Bytes  16.08.2010 16:47:16

VBASE023.VDF   : 7.10.10.192     2048 Bytes  16.08.2010 16:47:16

VBASE024.VDF   : 7.10.10.193     2048 Bytes  16.08.2010 16:47:16

VBASE025.VDF   : 7.10.10.194     2048 Bytes  16.08.2010 16:47:16

VBASE026.VDF   : 7.10.10.195     2048 Bytes  16.08.2010 16:47:16

VBASE027.VDF   : 7.10.10.196     2048 Bytes  16.08.2010 16:47:16

VBASE028.VDF   : 7.10.10.197     2048 Bytes  16.08.2010 16:47:17

VBASE029.VDF   : 7.10.10.198     2048 Bytes  16.08.2010 16:47:17

VBASE030.VDF   : 7.10.10.199     2048 Bytes  16.08.2010 16:47:17

VBASE031.VDF   : 7.10.10.208    72192 Bytes  18.08.2010 10:13:06

Engineversion  : 8.2.4.34  

AEVDF.DLL      : 8.1.2.1       106868 Bytes  01.08.2010 11:25:58

AESCRIPT.DLL   : 8.1.3.42     1364347 Bytes  01.08.2010 11:25:58

AESCN.DLL      : 8.1.6.1       127347 Bytes  16.05.2010 08:26:20

AESBX.DLL      : 8.1.3.1       254324 Bytes  26.04.2010 15:51:17

AERDL.DLL      : 8.1.8.2       614772 Bytes  21.07.2010 10:01:45

AEPACK.DLL     : 8.2.3.5       471412 Bytes  11.08.2010 12:56:58

AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  22.07.2010 08:17:05

AEHEUR.DLL     : 8.1.2.11     2834805 Bytes  11.08.2010 12:56:55

AEHELP.DLL     : 8.1.13.2      242039 Bytes  21.07.2010 10:01:11

AEGEN.DLL      : 8.1.3.19      393587 Bytes  11.08.2010 12:56:42

AEEMU.DLL      : 8.1.2.0       393588 Bytes  26.04.2010 15:51:11

AECORE.DLL     : 8.1.16.2      192887 Bytes  21.07.2010 10:01:07

AEBB.DLL       : 8.1.1.0        53618 Bytes  26.04.2010 15:51:09

AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10

AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07

AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40

AVREG.DLL      : 10.0.3.0       53096 Bytes  19.04.2010 11:50:36

AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  19.04.2010 11:50:36

AVARKT.DLL     : 10.0.0.14     227176 Bytes  19.04.2010 11:50:36

AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25

SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53

AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54

NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55

RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08

RCTEXT.DLL     : 10.0.53.0      98152 Bytes  19.04.2010 11:50:36
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: niedrig

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: mittel

Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Mittwoch, 18. August 2010  12:13
 

Der Suchlauf nach versteckten Objekten wird begonnen.

HKEY_USERS\S-1-5-21-329068152-299502267-1801674531-1003\Software\SecuROM\License information\datasecu

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_USERS\S-1-5-21-329068152-299502267-1801674531-1003\Software\SecuROM\License information\rkeysecu

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation

    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'logon.scr' - '13' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '78' Modul(e) wurden durchsucht

Durchsuche Prozess 'razerofa.exe' - '13' Modul(e) wurden durchsucht

Durchsuche Prozess 'razertra.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'razerhid.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'Keyboard.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '87' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'uphclean.exe' - '9' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'StartSkysolSvc.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'CATSysDemon.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '1008' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <System>

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mexe.com

    [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MWAVSCAN.COM

    [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

[0] Archivtyp: RAR SFX (self extracting)

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

--> mexe.com

  [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

Beginne mit der Suche in 'D:\' <Spiele>
 

Beginne mit der Desinfektion:

C:\Dokumente und Einstellungen\***\Desktop\zeugs\mwav.exe

    [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f8e6c53.qua' verschoben!

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MWAVSCAN.COM

    [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5779439d.qua' verschoben!

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mexe.com

    [FUND]      Enthält Erkennungsmuster des Droppers DR/Kraddare.A

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05691963.qua' verschoben!
 
 

Ende des Suchlaufs: Mittwoch, 18. August 2010  13:47

Benötigte Zeit:  1:20:22 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  18211 Verzeichnisse wurden überprüft

 803376 Dateien wurden geprüft

     16 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      3 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 803360 Dateien ohne Befall

   9288 Archive wurden durchsucht

      0 Warnungen

      3 Hinweise

 672364 Objekte wurden beim Rootkitscan durchsucht

      3 Versteckte Objekte wurden gefunden

Die Bezeichnung " Dropper " ist schon mal auffällig im zusammenhang mit den Land-Attacken.

Hier noch mein hijackthis-Log :

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 09:25:01, on 18.08.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.21283)

Boot mode: Normal
 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\nvsvc32.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe

C:\Programme\BlueSoleil\StartSkysolSvc.exe

C:\WINXP\system32\svchost.exe

C:\Programme\UPHClean\uphclean.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINXP\system32\wuauclt.exe

C:\WINXP\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

C:\Programme\Razer\Copperhead\razerhid.exe

C:\Programme\Razer\Copperhead\razertra.exe

C:\Programme\Razer\Copperhead\razerofa.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\***\Desktop\HiJackThis204.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

O1 - Hosts: 62.146.66.187 personal.avira-update.com personal.avira-cdn.com

O1 - Hosts: 80.190.143.232 personal.avira-update.net

O1 - Hosts: 80.190.143.229 perspeak.avira-update.com

O1 - Hosts: 62.146.66.181 dl1.avgate.net

O1 - Hosts: 62.146.66.182 dl2.avgate.net

O1 - Hosts: 62.146.66.183 dl3.avgate.net

O1 - Hosts: 62.146.66.184 dl4.avgate.net

O1 - Hosts: 80.190.143.235 dl5.avgate.net

O1 - Hosts: 80.190.143.236 dl6.avgate.net

O1 - Hosts: 62.146.66.178 dl7.avgate.net

O1 - Hosts: 62.146.66.179 dl8.avgate.net

O1 - Hosts: 80.190.143.239 dl9.avgate.net

O1 - Hosts: 80.190.143.230 dl10.avgate.net

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINXP\system32\JMRaidSetup.exe boot

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

O23 - Service: Start BT in service - Unknown owner - C:\Programme\BlueSoleil\StartSkysolSvc.exe
 

--

End of file - 6509 bytes

Ich habe weder im Virenverzeichnis noch mit Google genaueres über diesen Schädling herausfinden können aber vielleicht ihr?

Die 3 auffälligen Dateien : mwav.exe, MWAVSCAN.COM, mexe.com sind erstmal in Quarantäne verschoben. Werde wohl das System neu aufsetzen müssen :aufsmaul: :schmoll:. Aber ich würde gern wissen, was ihr von diesem Schädling wisst.

Mein OS : Windows XP SP3 mit eigener aktivierter Firewall

Browser : Mozilla Firefox 3.6.8 mit ABP, NoScript, Better Privacy

Antivirus : Avira Antivir 10 Personal

Vielen Dank im vorraus

MFG

Hallo und :hallo:

Zitat:

Dann hab ich im Log meines Routers folgenden Eintrag sehr oft entdeckt:

Welcher Router, wie alt, welche Firmwareversion?

Zitat:

Die 3 auffälligen Dateien : mwav.exe, MWAVSCAN.COM, mexe.com sind erstmal in Quarantäne verschoben.

Das ist von eScan. Das Tool wurde hier vor Jahren mal im TB eingesetzt wird aber lange nicht mehr supportet.

Hi Arne,

viel Dank erstmal für die Antwort.

Der Router ist ein SMC Barricade g SMCWBR14-G2 Wireless 802.11 g 54 Mbps Breitband-Router

Runtime-Code-Version : V1.01 (Oct 19 2005 16:37:41)

Ja, ich weiß -> alt, aber ich bin nicht der Freund von Firmware-Updates bei Routern, weil meist nur mehr Probleme auftreten.

Außerdem lief der Router die 5 Jahre tadellos, gab nie Probleme. Hab ihn schon vom Netz genommen, paar Minuten gewartet und wieder angestöpselt -> brachte nix.

Es hängen nur 2 PC's dran per Kabel. Der andere PC war in letzter Zeit nicht an.

Firewall im Router ist aktiviert, W-LAN deaktiviert, UPNP aktiviert, ip wird von DHCP zugewiesen.

Hier noch das komplette Log des Routers vom 17.08.2010:

Code:

2010-08-17  23:30:58 PPPoE stop                

2010-08-17  23:30:58 PPPoE1 stop PPP           

2010-08-17  23:14:29 192.168.2.100 logout      

2010-08-17  23:11:13 192.168.2.100 login success

2010-08-17  23:11:09 User from 192.168.2.100 timed out

2010-08-17  22:15:31 192.168.2.100 login success

2010-08-17  22:04:31 **LAND** <meine ip>, 3989->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  22:04:25 **LAND** <meine ip>, 3989->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  22:04:22 **LAND** <meine ip>, 3989->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:45:48 **LAND** <meine ip>, 3844->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:45:41 **LAND** <meine ip>, 3844->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:45:38 **LAND** <meine ip>, 3844->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:38:31 **LAND** <meine ip>, 3718->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:38:25 **LAND** <meine ip>, 3718->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:38:22 **LAND** <meine ip>, 3718->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:04:02 **LAND** <meine ip>, 3553->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:03:56 **LAND** <meine ip>, 3553->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  20:03:53 **LAND** <meine ip>, 3553->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  19:35:47 **LAND** <meine ip>, 3505->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  19:35:44 **LAND** <meine ip>, 3505->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  19:35:38 **LAND** <meine ip>, 3494->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  19:35:34 **LAND** <meine ip>, 3494->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  16:33:58 **LAND** <meine ip>, 3033->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  16:33:52 **LAND** <meine ip>, 3033->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  16:33:49 **LAND** <meine ip>, 3033->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  14:07:16 **LAND** <meine ip>, 1884->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  14:07:10 **LAND** <meine ip>, 1884->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  14:07:07 **LAND** <meine ip>, 1884->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  13:26:24 **LAND** <meine ip>, 1555->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  13:26:18 **LAND** <meine ip>, 1555->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  13:26:15 **LAND** <meine ip>, 1555->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  11:36:36 **LAND** <meine ip>, 1116->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  11:36:30 **LAND** <meine ip>, 1116->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  11:36:27 **LAND** <meine ip>, 1116->> <meine ip>, 80 (from PPPoE1 Inbound)

2010-08-17  11:20:31 PPPoE1 get IP:<meine ip>

2010-08-17  11:20:31 Username and Password: OK 

2010-08-17  11:20:31 PPPoE1 start PPP          

2010-08-17  11:20:31 PPPoE receive PADS        

2010-08-17  11:20:31 PPPoE send PADR           

2010-08-17  11:20:31 PPPoE receive PADO        

2010-08-17  11:20:30 PPPoE send PADI

BTW : ist denn sonst noch etwas auffälliges im Hijackthis-Log zu finden?

Danke

MFG

Zitat:

Ja, ich weiß -> alt, aber ich bin nicht der Freund von Firmware-Updates bei Routern, weil meist nur mehr Probleme auftreten.

Nö ist nicht der Fall. Alle Software muss aktualisiert werden, dazu zählt natürlich auch Firmware! Es gab in manchen Routern schon schlimme Sicherheitslücken.

Guten Morgen,

ich habe nun die Firmware auf die aktuellste Version die es gibt geupdated (2007). Das Problem besteht weiterhin.

Ich habe es nun mal in einem Router-Forum gepostet und dort ist man auch der Meinung, dass diese Land-Attacken mit dem Router direkt nichts zu tun haben.

Wahscheinlich ist es irgendein Programm auf meinem System, was solche SYN-Pakete verschickte um meine Verbindung zu crashen oder der Angriff kommt von außerhalb? :(

Hast du noch eine Idee?

Vielen Dank

MFG

Zitat:

2010-08-17 22:04:31 **LAND** <meine ip>, 3989->> <meine ip>, 80 (from PPPoE1 Inbound)

Hm, was genau meinst Du hier mit (meine IP)? Ist das die interne oder die WAN-IP?

Nabend,

Es handelt sich dabei um die WAN-IP.

MFG

Beide Male??
Auch bei <meine ip>, 80 ?

Ja.

"Land erzeugt ein SYN-Paket, bei dem Absender- und Zieladresse sowie -port identisch sind, wobei Absender- und Zieladresse mit der des Opfers übereinstimmen. Dieses Paket wird dann an einen offenen Port des Opfers gesendet. Dieses antwortet mit einem SYN/ACK-Paket an die Quelle (also sich selbst). Fehler im TCP/IP-Stack können dazu führen, dass dieses SYN/ACK-Paket als normales SYN-Paket betrachtet wird und das Opfer ein neues SYN/ACK-Paket an sich selbst generiert. Das Opfer wird durch die SYN/ACK-Pakete, die es sich selbst auf demselben Port zuschickt, ausgelastet. Es entsteht eine Race Condition, die das betroffene System lahmlegen kann."

Quelle: Wikipedia

Edit: Ich werde morgen früh mal mit dem zweiten Rechner, der auch am Router hängt, online gehen und gucken ob dann im Router-Log auch Land-Attacken mit dessen IP registriert werden.

MFG

Hm, also ich hab irgendwie den Eindruck, dass das Problem der (evtl zu alte) Router ist.
Hatte vor Jahren auch mal einen SMC Barricade und aus ähnlichen Gründen dort die Firewallfunktion abgestellt.

Bekommst Du diese LAND Meldungen nur wenn Du bestimmte Aktivitäten hast, zB ICQ? Oder ist es völlig egal, passierts auch wenn Du mit Deinem PC nichts im Internet machst?

Morgen,

Ich bin jetz mit dem anderen Rechner online und konnte bis jetzt keine Land's im Router-Log verzeichnen. ICQ hat hier bis jetzt auch noch nicht disconnected...

Zitat:

Bekommst Du diese LAND Meldungen nur wenn Du bestimmte Aktivitäten hast, zB ICQ? Oder ist es völlig egal, passierts auch wenn Du mit Deinem PC nichts im Internet machst?

Nein, diese Meldungen erscheinen nach meinem Befinden sporadisch. Mal wenn viel Traffic ist, aber auch wenn wenig oder gar kein Traffic ist.

MFG

Hm ok. Wende mal auf den Rechner, der diese Routerwarnungen erzeugt, folgendes an

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Sooo,

Hier der vollständige Scan von Malwarebytes mit aktuellstem Update:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4451
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

20.08.2010 13:46:14

mbam-log-2010-08-20 (13-46-14).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Durchsuchte Objekte: 307658

Laufzeit: 45 Minute(n), 56 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

und der Scan von OTL (OTL.Txt) :

Code:

OTL logfile created on: 20.08.2010 13:49:31 - Run 1

OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\***\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free

6,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free

Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme

Drive C: | 48,83 Gb Total Space | 3,42 Gb Free Space | 7,00% Space Free | Partition Type: NTFS

Drive D: | 184,05 Gb Total Space | 79,72 Gb Free Space | 43,31% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ***

Current User Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\WINXP\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\BlueSoleil\StartSkysolSvc.exe ()

PRC - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe (Dassault Systemes)

PRC - C:\Programme\Razer\Copperhead\razerhid.exe ()

PRC - C:\Programme\Razer\Copperhead\razerofa.exe (Razer Inc.)

PRC - C:\Programme\Razer\Copperhead\razertra.exe ()

PRC - C:\Programme\UPHClean\uphclean.exe (Microsoft Corporation)

PRC - C:\Programme\Labtec\Labtec Keyboard-Desktop Software\Keyboard.exe ()

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)

MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (npggsvc) -- C:\WINXP\System32\GameMon.des (INCA Internet Co., Ltd.)

SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)

SRV - (Autodesk Licensing Service) -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe (Autodesk)

SRV - (BlueSoleil Hid Service) -- C:\Programme\BlueSoleil\BTNtService.exe ()

SRV - (Start BT in service) -- C:\Programme\BlueSoleil\StartSkysolSvc.exe ()

SRV - (O&O Defrag) -- C:\WINXP\system32\oodag.exe (O&O Software GmbH)

SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

SRV - (BBDemon) -- C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe (Dassault Systemes)

SRV - (UPHClean) -- C:\Programme\UPHClean\uphclean.exe (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (InCDRm) -- C:\WINXP\System32\drivers\InCDRm.sys File not found

DRV - (InCDPass) -- C:\WINXP\System32\drivers\InCDPass.sys File not found

DRV - (InCDFs) -- C:\WINXP\System32\drivers\InCDFs.sys File not found

DRV - (sptd) -- C:\WINXP\System32\Drivers\sptd.sys ()

DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (atksgt) -- C:\WINXP\system32\drivers\atksgt.sys ()

DRV - (lirsgt) -- C:\WINXP\system32\drivers\lirsgt.sys ()

DRV - (nv) -- C:\WINXP\system32\drivers\nv4_mini.sys (NVIDIA Corporation)

DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (gdrv) -- C:\WINXP\gdrv.sys (Windows (R) 2000 DDK provider)

DRV - (HDAudBus) -- C:\WINXP\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (CAM1210) -- C:\WINXP\system32\drivers\cam1210.sys (USB video camera)

DRV - (Btcsrusb) -- C:\WINXP\system32\drivers\btcusb.sys (IVT Corporation.)

DRV - (BlueletSCOAudio) -- C:\WINXP\system32\drivers\BlueletSCOAudio.sys (IVT Corporation.)

DRV - (BlueletAudio) -- C:\WINXP\system32\drivers\blueletaudio.sys (IVT Corporation.)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINXP\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (BT) -- C:\WINXP\system32\drivers\btnetdrv.sys (IVT Corporation.)

DRV - (BTHidMgr) -- C:\WINXP\System32\Drivers\BTHidMgr.sys (IVT Corporation.)

DRV - (BTHidEnum) -- C:\WINXP\System32\Drivers\vbtenum.sys (IVT Corporation.)

DRV - (VcommMgr) -- C:\WINXP\system32\drivers\VcommMgr.sys (IVT Corporation.)

DRV - (VComm) -- C:\WINXP\system32\drivers\VComm.sys (IVT Corporation.)

DRV - (RTLE8023xp) -- C:\WINXP\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )

DRV - (JRAID) -- C:\WINXP\system32\DRIVERS\jraid.sys (JMicron Technology Corp.)

DRV - (JGOGO) -- C:\WINXP\system32\DRIVERS\JGOGO.sys (JMicron )

DRV - (Razerlow) -- C:\WINXP\system32\drivers\Razerlow.sys (Razer (Asia-Pacific) Pte Ltd)

DRV - (Afc) -- C:\WINXP\system32\drivers\afc.sys (Arcsoft, Inc.)

DRV - (LUMDriver) -- C:\WINXP\system32\drivers\LUMDriver.sys (IBM)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2

FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.48.3

FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.1

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.24 17:44:42 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.24 17:44:42 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.07 11:07:24 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

 

[2009.12.19 13:16:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions

[2009.12.19 13:16:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}

[2010.08.20 13:03:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\extensions

[2010.08.09 19:17:06 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

[2010.07.21 12:26:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010.08.18 15:17:17 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

[2010.07.30 23:15:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}

[2010.08.16 23:01:07 | 000,001,210 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\searchplugins\scroogle-de.xml

[2010.08.20 13:03:12 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.07.21 18:05:35 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.07.21 18:05:35 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.07.21 18:05:35 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.07.21 18:05:35 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.07.21 18:05:35 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2010.07.24 17:17:53 | 000,001,293 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: 62.146.66.187   personal.avira-update.com personal.avira-cdn.com

O1 - Hosts: 80.190.143.232  personal.avira-update.net

O1 - Hosts: 80.190.143.229  perspeak.avira-update.com

O1 - Hosts: 62.146.66.181   dl1.avgate.net

O1 - Hosts: 62.146.66.182   dl2.avgate.net

O1 - Hosts: 62.146.66.183   dl3.avgate.net

O1 - Hosts: 62.146.66.184   dl4.avgate.net

O1 - Hosts: 80.190.143.235  dl5.avgate.net

O1 - Hosts: 80.190.143.236  dl6.avgate.net

O1 - Hosts: 62.146.66.178   dl7.avgate.net

O1 - Hosts: 62.146.66.179   dl8.avgate.net

O1 - Hosts: 80.190.143.239  dl9.avgate.net

O1 - Hosts: 80.190.143.230  dl10.avgate.net

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.

O4 - HKLM..\Run: [36X Raid Configurer] C:\WINXP\System32\JMRaidSetup.exe (Gigabyte Technology Corp.)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe ()

O4 - HKLM..\Run: [KeyBoard] C:\Programme\Labtec\Labtec Keyboard-Desktop Software\Keyboard.exe ()

O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NWEReboot]  File not found

O4 - HKLM..\Run: [nwiz]  File not found

O4 - HKLM..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe ()

O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)

O15 - HKCU\..Trusted Ranges: Range1 ([https] in Vertrauenswürdige Sites)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.06.18 15:25:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\Shell\AutoRun\command - "" = E:\Run.exe -- File not found

O33 - MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\Shell - "" = AutoRun

O33 - MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O34 - HKLM BootExecute: (OODBS) - C:\WINXP\System32\OODBS.exe (O&O Software GmbH)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.08.20 13:47:57 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe

[2010.08.20 12:58:08 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys

[2010.08.20 12:58:07 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys

[2010.08.20 12:58:07 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.08.20 12:55:42 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup.exe

[2010.08.19 00:21:41 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent

[2010.08.18 12:23:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2010.08.18 09:24:39 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis204.exe

[2010.08.12 13:29:53 | 000,000,000 | -HSD | C] -- C:\Config.Msi

[2010.08.07 11:19:17 | 000,000,000 | ---D | C] -- C:\Programme\360g

[2010.07.27 20:20:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ

[2010.07.27 20:15:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ

[2010.07.27 20:15:44 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.2

[6 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]

[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.08.20 13:48:03 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe

[2010.08.20 12:58:10 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.08.20 12:56:45 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup.exe

[2010.08.20 12:52:55 | 000,272,291 | ---- | M] () -- C:\WINXP\System32\NvApps.xml

[2010.08.20 12:52:06 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT

[2010.08.20 12:52:04 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat

[2010.08.20 12:52:01 | 000,477,464 | ---- | M] () -- C:\WINXP\System32\oodbs.lor

[2010.08.19 22:54:47 | 016,777,216 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT

[2010.08.19 15:05:33 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini

[2010.08.19 12:15:09 | 000,175,492 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Unbenannt.JPG

[2010.08.18 18:34:41 | 000,873,298 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\FW_SMCWBR14-G2_ETSI_v1.11.zip

[2010.08.18 14:17:21 | 000,025,337 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Dokument.rtf

[2010.08.18 09:24:40 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis204.exe

[2010.08.17 20:13:16 | 000,000,755 | ---- | M] () -- C:\WINXP\win.ini

[2010.08.17 20:13:16 | 000,000,227 | ---- | M] () -- C:\WINXP\system.ini

[2010.08.17 20:13:16 | 000,000,219 | RHS- | M] () -- C:\boot.ini

[2010.08.12 13:45:20 | 000,279,744 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT

[2010.08.12 13:31:51 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK

[2010.08.12 13:30:49 | 001,083,818 | ---- | M] () -- C:\WINXP\System32\PerfStringBackup.INI

[2010.08.12 13:30:49 | 000,481,458 | ---- | M] () -- C:\WINXP\System32\perfh007.dat

[2010.08.12 13:30:49 | 000,458,954 | ---- | M] () -- C:\WINXP\System32\perfh009.dat

[2010.08.12 13:30:49 | 000,094,602 | ---- | M] () -- C:\WINXP\System32\perfc007.dat

[2010.08.12 13:30:49 | 000,078,744 | ---- | M] () -- C:\WINXP\System32\perfc009.dat

[2010.08.12 13:04:59 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl

[2010.08.09 19:26:27 | 000,000,116 | ---- | M] () -- C:\WINXP\NeroDigital.ini

[2010.08.08 16:54:32 | 000,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.08.08 11:51:58 | 002,907,683 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Der reale Motor.pdf

[2010.08.05 13:19:57 | 000,103,534 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Teilnahmebescheinigung Praktikum.pdf

[2010.07.30 20:47:22 | 000,000,754 | ---- | M] () -- C:\WINXP\WORDPAD.INI

[2010.07.30 12:50:23 | 000,384,444 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Allgemeine Hochschulreife.pdf

[2010.07.30 10:39:42 | 000,000,912 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DVDVideoSoft Free Studio.lnk

[2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\shell32.dll

[2010.07.26 11:20:08 | 000,026,261 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Notenspiegel(BE).pdf

[2010.07.21 18:18:38 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Alien Swarm.url

[6 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]

[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.08.20 12:58:10 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.08.19 12:15:09 | 000,175,492 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Unbenannt.JPG

[2010.08.18 18:34:29 | 000,873,298 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\FW_SMCWBR14-G2_ETSI_v1.11.zip

[2010.08.18 14:17:21 | 000,025,337 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Dokument.rtf

[2010.08.08 11:51:55 | 002,907,683 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Der reale Motor.pdf

[2010.08.05 13:19:56 | 000,103,534 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Teilnahmebescheinigung Praktikum.pdf

[2010.07.30 12:50:20 | 000,384,444 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Allgemeine Hochschulreife.pdf

[2010.07.26 11:20:07 | 000,026,261 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Notenspiegel(BE).pdf

[2010.07.21 18:18:38 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Alien Swarm.url

[2010.07.09 21:04:40 | 000,041,872 | ---- | C] () -- C:\WINXP\System32\xfcodec.dll

[2010.04.12 18:26:06 | 000,116,224 | ---- | C] () -- C:\WINXP\System32\pdfcmnnt.dll

[2009.11.28 15:04:56 | 000,000,000 | ---- | C] () -- C:\WINXP\OODCNT.INI

[2009.05.02 23:48:37 | 000,000,754 | ---- | C] () -- C:\WINXP\WORDPAD.INI

[2009.03.27 15:06:01 | 000,057,344 | ---- | C] () -- C:\WINXP\System32\KBHook.dll

[2009.03.27 15:06:01 | 000,049,152 | ---- | C] () -- C:\WINXP\System32\HookPS2.dll

[2009.01.22 16:41:50 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys

[2008.10.22 19:05:16 | 000,001,814 | ---- | C] () -- C:\WINXP\ODBC.INI

[2008.10.22 18:55:20 | 000,000,145 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2008.10.22 18:50:34 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2008.10.22 18:38:26 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2008.10.12 14:35:14 | 000,000,000 | ---- | C] () -- C:\WINXP\webica.ini

[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelTraditionalChinese.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelSwedish.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelSpanish.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelSimplifiedChinese.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelPortugese.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelKorean.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelJapanese.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelGerman.dll

[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINXP\System32\AgCPanelFrench.dll

[2008.08.04 20:32:02 | 000,281,760 | ---- | C] () -- C:\WINXP\System32\drivers\atksgt.sys

[2008.08.04 20:32:01 | 000,025,888 | ---- | C] () -- C:\WINXP\System32\drivers\lirsgt.sys

[2008.06.27 21:04:54 | 000,000,116 | ---- | C] () -- C:\WINXP\NeroDigital.ini

[2008.06.27 20:32:46 | 000,408,576 | ---- | C] () -- C:\WINXP\System32\Smab.dll

[2008.06.27 20:32:46 | 000,027,648 | ---- | C] () -- C:\WINXP\System32\AVSredirect.dll

[2008.06.21 14:01:21 | 000,691,696 | ---- | C] () -- C:\WINXP\System32\drivers\sptd.sys

[2008.06.19 11:12:16 | 000,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008.06.18 16:22:08 | 000,679,936 | ---- | C] () -- C:\WINXP\System32\xvidcore.dll

[2008.06.18 16:22:08 | 000,421,888 | ---- | C] () -- C:\WINXP\System32\OpenQuicktimeLib.dll

[2008.06.18 16:22:08 | 000,157,696 | ---- | C] () -- C:\WINXP\System32\unrar.dll

[2008.06.18 16:22:08 | 000,155,648 | ---- | C] () -- C:\WINXP\System32\xvidvfw.dll

[2008.06.18 16:22:07 | 000,019,968 | ---- | C] () -- C:\WINXP\System32\cpuinf32.dll

[2008.06.05 09:58:26 | 000,197,912 | ---- | C] () -- C:\WINXP\System32\physxcudart_20.dll

[2007.11.26 22:56:28 | 000,151,415 | ---- | C] () -- C:\WINXP\System32\xlive.dll.cat

[2007.03.07 19:07:12 | 000,021,174 | ---- | C] () -- C:\WINXP\cam1210.ini

[2006.11.08 13:27:06 | 000,030,208 | ---- | C] () -- C:\WINXP\System32\cam1210.dll

< End of report >

, sowie Extras.Txt :

Code:

OTL Extras logfile created on: 20.08.2010 13:49:31 - Run 1

OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\***\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free

6,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free

Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme

Drive C: | 48,83 Gb Total Space | 3,42 Gb Free Space | 7,00% Space Free | Partition Type: NTFS

Drive D: | 184,05 Gb Total Space | 79,72 Gb Free Space | 43,31% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ***

Current User Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)

htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)

"D:\Spiele\Far Cry 2\bin\FC2Editor.exe" = D:\Spiele\Far Cry 2\bin\FC2Editor.exe:*:Enabled:Editor -- (Ubisoft Entertainment)

"D:\Spiele\Dead Space\Dead Space.exe" = D:\Spiele\Dead Space\Dead Space.exe:*:Disabled:Dead Space ™ -- ()

"D:\Spiele\Call of Duty 4 - Modern Warfare\iw3mp.exe" = D:\Spiele\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)  -- ()

"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)

"C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CNEXT.exe" = C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CNEXT.exe:*:Enabled:CATIA -- (Dassault Systemes)

"D:\Spiele\Steam\SteamApps\***\team fortress 2\hl2.exe" = D:\Spiele\Steam\SteamApps\***\team fortress 2\hl2.exe:*:Enabled:hl2 -- ()

"D:\Spiele\Steam\SteamApps\***\day of defeat source\hl2.exe" = D:\Spiele\Steam\SteamApps\***\day of defeat source\hl2.exe:*:Enabled:hl2 -- File not found

"D:\Spiele\Steam\Steam.exe" = D:\Spiele\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)

"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)

"C:\Dokumente und Einstellungen\***\Desktop\Miranda\miranda32.exe" = C:\Dokumente und Einstellungen\***\Desktop\Miranda\miranda32.exe:*:Enabled:miranda32.exe -- File not found

"C:\WINXP\system32\PnkBstrA.exe" = C:\WINXP\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- File not found

"C:\WINXP\system32\PnkBstrB.exe" = C:\WINXP\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- File not found

"D:\Spiele\Far Cry 2\bin\FarCry2.exe" = D:\Spiele\Far Cry 2\bin\FarCry2.exe:*:Enabled:Far Cry® 2 -- (Ubisoft Entertainment)

"D:\Spiele\Prototype\prototypef.exe" = D:\Spiele\Prototype\prototypef.exe:*:Enabled:Prototype(TM) -- (Activision)

"D:\Spiele\S.T.A.L.K.E.R. - Call Of Pripyat\bin\xrEngine.exe" = D:\Spiele\S.T.A.L.K.E.R. - Call Of Pripyat\bin\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Call Of Pripyat (CLI) -- ()

"D:\Spiele\S.T.A.L.K.E.R. - Call Of Pripyat\bin\dedicated\xrEngine.exe" = D:\Spiele\S.T.A.L.K.E.R. - Call Of Pripyat\bin\dedicated\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Call Of Pripyat (SRV) -- ()

"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- File not found

"C:\Programme\BlueSoleil\BlueSoleil.exe" = C:\Programme\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil -- (IVT Corporation.)

"C:\Programme\Xfire\Xfire.exe" = C:\Programme\Xfire\Xfire.exe:*:Enabled:Xfire -- (Xfire Inc.)

"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )

"D:\Spiele\Gearbox Software\Borderlands\Binaries\Borderlands.exe" = D:\Spiele\Gearbox Software\Borderlands\Binaries\Borderlands.exe:*:Enabled:Borderlands -- (Take-Two Interactive Software, Inc.)

"D:\Spiele\Battlefield Bad Company 2\BFBC2Updater.exe" = D:\Spiele\Battlefield Bad Company 2\BFBC2Updater.exe:*:Enabled:Battlefield: Bad Company™ 2 -- (EA Digital Illusions CE AB)

"D:\Spiele\Modern Warfare 2\iw4mp.exe" = D:\Spiele\Modern Warfare 2\iw4mp.exe:*:Enabled:iw4mp -- ()

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

"D:\Spiele\Steam\SteamApps\common\alien swarm\swarm.exe" = D:\Spiele\Steam\SteamApps\common\alien swarm\swarm.exe:*:Enabled:Alien Swarm -- ()

"D:\Spiele\Steam\SteamApps\common\alien swarm\srcds.exe" = D:\Spiele\Steam\SteamApps\common\alien swarm\srcds.exe:*:Enabled:Alien Swarm Dedicated Server -- ()

"D:\Spiele\Steam\SteamApps\***\counter-strike source\hl2.exe" = D:\Spiele\Steam\SteamApps\***\counter-strike source\hl2.exe:*:Enabled:Counter-Strike: Source -- ()

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator

"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{205ACCD7-5342-4694-91F3-3A99E4FD5AA6}" = Mathcad 14 Help

"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool

"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18

"{32C2F9AA-7484-48C2-AC19-2031F2ADD8F2}" = HAMA WEBCAM AC-130

"{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}" = SQL Server System CLR Types

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = Gigabyte Raid Configurer

"{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2

"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform

"{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch

"{406FB8A4-F539-48A9-809C-F94706F9C9F6}_is1" = S.T.A.L.K.E.R. - Call Of Pripyat [v1.6.01]

"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger

"{4781569D-5404-1F26-4B2B-6DF444441031}" = Nero 7 Premium

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{4D87DC92-C328-46EC-A7B4-9C88129DC696}" = Dead Space™

"{511808B1-7114-43C7-8D6F-44FEBD7AC7B2}" = Labtec Keyboard-Desktop Software

"{52B65911-1559-4ED5-9461-46957FDD48CD}" = Borderlands

"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent

"{53480330-E1D1-41CA-B8F8-7F78644F7F50}" = O&O Defrag Professional Edition

"{537575D6-3B96-474C-BD8F-DFF667363DBD}" = Naviextras Toolbox Prerequesities

"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8

"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call

"{6CE1284C-B158-4420-AD9D-BD39CD1AA8A1}" = Microsoft Visual C++ 2005 Express Edition - DEU

"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2

"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

"{7CFAEC66-BA0E-4076-AAA5-2BE29153E6DF}" = Microsoft XML Parser

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Patch

"{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch

"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12

"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007

"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007

"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007

"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007

"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007

"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007

"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007

"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)

"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007

"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)

"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007

"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)

"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007

"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)

"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007

"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007

"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)

"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007

"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007

"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007

"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007

"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)

"{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}" = Microsoft Games for Windows - LIVE Redistributable

"{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch

"{9322A850-9091-4D0E-B252-3E82EDA3D94A}" = Prototype(TM)

"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting

"{9580813D-94B1-4C28-9426-A441E2BB29A5}" = Counter-Strike: Source

"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{AA721D14-CFE2-410E-B975-79FE5F82F99F}" = MSVCMergeModules

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch

"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9

"{B9A17C96-1348-45CB-BB0A-1BCB3A0F854E}" = Bluesoleil2.7.0.35 VoIP Release 080317

"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation

"{BD8A0C60-1AEB-11D6-B8E1-00025521AE60}" = VBA (3821b)

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D56B0E27-4A3E-46C9-B5C1-D93D580C099C}" = NVIDIA PhysX v8.10.29

"{D6D5CFB3-7095-4073-B6B7-B7E909838C57}" = Razer Copperhead

"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)

"{E666A69B-A76D-43D5-AF28-4B2150A6EDE2}" = Mathcad 14

"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack

"{EBD38AE9-D52D-448D-9DB4-4D5F66E1DAFC}" = Mathcad 14 Resource Center

"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F2835483-37F2-4123-B4FE-0E77D58447F2}" = Far Cry 2

"{F3CA9611-CD42-4562-ADAB-A554CF8E17F1}" = Microsoft WSE 2.0 SP3 Runtime

"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials

"{FF77941A-2BFA-4A18-BE2E-69B9498E4D55}" = User Profile Hive Cleanup Service

"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Age of Alexander_is1" = Age of Alexander

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"Becker Content Manager" = Becker Content Manager

"Call of Duty Modern Warfare 2_is1" = Call of Duty Modern Warfare 2

"ClearProg" = ClearProg 1.6.0 Final

"Content Manager 2" = Content Manager 2

"Dassault Systemes B17_0" = Dassault Systemes Software B17

"Drakensang_is1" = Drakensang

"Drakensang_TRoT_is1" = Drakensang - Am Fluss der Zeit

"ENTERPRISE" = Microsoft Office Enterprise 2007

"Fallout Mod Manager_is1" = Fallout Mod Manager 0.9.1

"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4

"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7

"InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch

"InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch

"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch

"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch

"InstallShield_{9322A850-9091-4D0E-B252-3E82EDA3D94A}" = Prototype(TM)

"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)

"IrfanView" = IrfanView (remove only)

"KLiteCodecPack_is1" = K-Lite Codec Pack 2.54 Full

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Microsoft Visual C++ 2005 Express Edition - DEU" = Microsoft Visual C++ 2005 Express Edition - DEU

"Miranda IM" = Miranda IM 0.8.12

"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)

"Mozilla Thunderbird (3.1.2)" = Mozilla Thunderbird (3.1.2)

"MP Navigator 3.0" = Canon MP Navigator 3.0

"NVIDIA Display Control Panel" = NVIDIA Display Control Panel

"NVIDIA Drivers" = NVIDIA Drivers

"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager

"OpenAL" = OpenAL

"POI FINDER (Becker)_is1" = POI FINDER 3.73 (Becker)

"S.T.A.L.K.E.R. - Clear Sky_is1" = S.T.A.L.K.E.R. - Clear Sky [v1.0003]

"Steam App 400" = Portal

"Steam App 440" = Team Fortress 2

"Steam App 630" = Alien Swarm

"TeamSpeak 3 Client" = TeamSpeak 3 Client

"Uninstall_is1" = Uninstall 1.0.0.1

"Winamp" = Winamp

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinLiveSuite_Wave3" = Windows Live Essentials

"WinRAR archiver" = WinRAR

"Xfire" = Xfire (remove only)

"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"uTorrent" = µTorrent

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 14.07.2010 09:31:11 | Computer Name = *** | Source = crypt32 | ID = 131083

Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen

 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>

 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 

nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel

 in der signierten Datei.  .

 

Error - 14.07.2010 12:31:07 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung glest_game.exe, Version 0.0.0.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 15.07.2010 17:47:34 | Computer Name = *** | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung miranda32.exe, Version 0.8.12.2, fehlgeschlagenes

 Modul smileyaddw.dll, Version 0.2.3.15, Fehleradresse 0x0000f11f.

 

Error - 16.07.2010 09:28:41 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung miranda32.exe, Version 0.8.12.2, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 21.07.2010 14:12:02 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung Steam.exe, Version 1.0.843.387, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 26.07.2010 08:26:02 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung swarm.exe, Version 0.0.0.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 30.07.2010 05:08:08 | Computer Name = *** | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung winamp.exe, Version 5.5.3.1938, fehlgeschlagenes

 Modul in_vorbis.dll, Version 0.0.0.0, Fehleradresse 0x000017a2.

 

Error - 02.08.2010 15:45:35 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3129, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 05.08.2010 10:08:02 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3129, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 10.08.2010 14:40:04 | Computer Name = *** | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3129, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

[ System Events ]

Error - 06.08.2010 07:21:13 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Start BT in service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 06.08.2010 07:21:18 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Backbone Service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 06.08.2010 07:23:25 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 16.08.2010 12:38:23 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 16.08.2010 12:38:26 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Backbone Service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 16.08.2010 12:38:32 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Start BT in service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 17.08.2010 14:11:57 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Backbone Service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 17.08.2010 14:12:02 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Start BT in service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 17.08.2010 14:12:10 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "O&O Defrag" wurde unerwartet beendet. Dies ist bereits 1 Mal

 passiert.

 

Error - 17.08.2010 14:12:16 | Computer Name = *** | Source = Service Control Manager | ID = 7034

Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

 

< End of report >

MFG

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.

O33 - MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\Shell\AutoRun\command - "" = E:\Run.exe -- File not found

O33 - MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\Shell - "" = AutoRun

O33 - MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

aha aha.

Hier das Log:

Code:

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04e0e8c2-3d41-11dd-98f6-806d6172696f}\ not found.

File E:\Run.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{184112de-3f8a-11dd-a736-001a4d4f3c40}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{184112de-3f8a-11dd-a736-001a4d4f3c40}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{184112de-3f8a-11dd-a736-001a4d4f3c40}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{184112de-3f8a-11dd-a736-001a4d4f3c40}\ not found.

File G:\Autorun.exe not found.

========== COMMANDS ==========

C:\WINXP\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 72457482 bytes

->Temporary Internet Files folder emptied: 409600 bytes

->Flash cache emptied: 592 bytes

 

User: ***

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 2652471 bytes

->Java cache emptied: 10706740 bytes

->FireFox cache emptied: 62860115 bytes

->Flash cache emptied: 452 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2595929 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 145,00 mb

 

 

OTL by OldTimer - Version 3.2.10.0 log created on 08212010_194959
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Was ist denn Mountpoints2 ???? Kannst du mir ein bisschen was über die Registryeinträge erzählen?

Danke

Mountpoints2 => Information About The Windows Registry Key "MountPoints2"

Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bemerkung :

Nachdem ich die cofi.exe ausgeführt habe und auf "JA" geklickt habe piepte der Systemlautsprecher und es erschien ein kleines Fenster : "FEHLER". Da klickte ich auf OK und dann hat der Rechner rebootet und das Combofix-teil startete. Er hat dann auch nicht erst die Registry gesichert, so wie es im Leitafden steht, sondern gleich nach der wiederherstellungskonsole gefragt. Ansonsten hat er dann losgelegt mit dem Scan.

Hier das Log:

Code:

ComboFix 10-08-21.06 - *** 22.08.2010  22:08:11.1.4 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1639 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\winxp\regedit.com

c:\winxp\system32\taskmgr.com
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-22 bis 2010-08-22  ))))))))))))))))))))))))))))))

.
 

2010-08-22 19:49 . 2010-08-22 19:49        --------        d-----w-        c:\programme\CCleaner

2010-08-21 17:49 . 2010-08-21 17:49        --------        d-----w-        C:\_OTL

2010-08-20 10:58 . 2010-04-29 10:19        38224        ----a-w-        c:\winxp\system32\drivers\mbamswissarmy.sys

2010-08-20 10:58 . 2010-08-20 10:58        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-08-20 10:58 . 2010-04-29 10:19        20952        ----a-w-        c:\winxp\system32\drivers\mbam.sys

2010-08-07 09:19 . 2010-08-07 09:19        --------        d-----w-        c:\programme\360g

2010-07-27 18:15 . 2010-08-22 10:08        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ

2010-07-27 18:15 . 2010-08-12 16:20        --------        d-----w-        c:\programme\ICQ7.2

2010-07-26 10:06 . 2010-07-26 10:07        7546073        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\becker\workingdir\download_cache\becker.download.navigation.com\!application\BeckerCM2\2010062501_2.2.1.9986\BeckerCM_Setup.exe

2010-07-26 09:49 . 2010-07-26 09:49        90624        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\becker\backup\CK-XVG2-9EQB-KCA7-28BE\2035468\flash\iGO8\SDS\scfservice.dll

2010-07-26 09:38 . 2010-07-26 09:38        39632        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\becker\backup\CK-XVG2-9EQB-KCA7-28BE\2035468\flash\NNGStart\MSVCR80.DLL

2010-07-26 09:38 . 2010-07-26 09:38        152088        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\becker\backup\CK-XVG2-9EQB-KCA7-28BE\2035468\flash\NNGStart\NNGStart.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-22 16:25 . 2008-12-30 16:44        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Skype

2010-08-19 17:50 . 2008-06-19 08:35        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Winamp

2010-08-12 11:31 . 2008-10-21 14:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2010-08-12 11:30 . 2001-08-23 09:00        94602        ----a-w-        c:\winxp\system32\perfc007.dat

2010-08-12 11:30 . 2001-08-23 09:00        481458        ----a-w-        c:\winxp\system32\perfh007.dat

2010-08-11 11:08 . 2010-02-11 13:25        --------        d-----w-        c:\programme\TeamSpeak 3 Client

2010-08-09 17:24 . 2010-02-18 11:06        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Xfire

2010-08-09 17:14 . 2008-06-19 08:42        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent

2010-08-07 09:07 . 2009-12-19 11:16        --------        d-----w-        c:\programme\Mozilla Thunderbird

2010-07-30 16:10 . 2010-02-18 11:06        --------        d-----w-        c:\programme\Xfire

2010-07-30 08:40 . 2010-07-21 10:26        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers

2010-07-30 08:39 . 2009-11-27 14:07        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2010-07-27 08:09 . 2010-03-16 12:14        --------        d-----w-        c:\programme\DAEMON Tools Lite

2010-07-26 09:49 . 2010-07-26 09:49        52224        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\becker\backup\CK-XVG2-9EQB-KCA7-28BE\2035468\flash\iGO8\SDS\saopservice.dll

2010-07-20 15:58 . 2008-10-02 10:08        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2010-07-19 15:21 . 2010-07-19 15:21        --------        d-----w-        c:\programme\Common Files

2010-07-09 19:04 . 2010-07-09 19:04        41872        ----a-w-        c:\winxp\system32\xfcodec.dll

2010-07-07 14:05 . 2010-07-07 14:05        1992        ----a-w-        c:\winxp\desctemp.dat

2010-06-30 12:28 . 2007-10-09 15:05        149504        ----a-w-        c:\winxp\system32\schannel.dll

2010-06-24 12:17 . 2007-12-11 19:54        841216        ----a-w-        c:\winxp\system32\wininet.dll

2010-06-24 12:17 . 2007-10-09 13:19        78336        ----a-w-        c:\winxp\system32\ieencode.dll

2010-06-24 12:17 . 2007-10-09 13:19        17408        ----a-w-        c:\winxp\system32\corpol.dll

2010-06-24 09:02 . 2007-10-09 15:06        1852032        ----a-w-        c:\winxp\system32\win32k.sys

2010-06-21 15:27 . 2007-10-09 15:07        354304        ----a-w-        c:\winxp\system32\drivers\srv.sys

2010-06-17 14:03 . 2004-08-03 19:57        80384        ----a-w-        c:\winxp\system32\iccvid.dll

2010-06-14 14:31 . 2008-06-18 13:23        744448        ----a-w-        c:\winxp\pchealth\helpctr\binaries\helpsvc.exe

2010-06-14 07:41 . 2007-10-09 15:05        1172480        ----a-w-        c:\winxp\system32\msxml3.dll

2010-05-29 16:28 . 2009-09-25 15:57        682280        ----a-w-        c:\winxp\system32\pbsvc.exe

.
 

------- Sigcheck -------
 

[-] 2008-08-25 . D24EA301E2B36C4E975FD216CA85D8E7 . 361600 . . [5.1.2600.5625] . . c:\winxp\system32\dllcache\TCPIP.SYS

[-] 2008-08-25 . D24EA301E2B36C4E975FD216CA85D8E7 . 361600 . . [5.1.2600.5625] . . c:\winxp\system32\drivers\TCPIP.SYS

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\winxp\$hf_mig$\KB951748\SP3QFE\tcpip.sys

[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\winxp\$hf_mig$\KB951748\SP3GDR\tcpip.sys

[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\winxp\$NtServicePackUninstall$\tcpip.sys

[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\winxp\$NtUninstallKB951748$\tcpip.sys

[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\winxp\ServicePackFiles\i386\TCPIP.SYS

[-] 2008-01-08 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\winxp\$NtUninstallKB951748_0$\tcpip.sys
 

[-] 2008-08-24 15:23 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\winxp\ServicePackFiles\i386\ctfmon.exe

[-] 2008-08-24 15:23 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\winxp\system32\ctfmon.exe

[7] 2004-08-03 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\winxp\$NtServicePackUninstall$\ctfmon.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X IDE Setup"="c:\winxp\JM\JMInsIDE.exe" [2006-10-30 36864]

"36X Raid Configurer"="c:\winxp\system32\JMRaidSetup.exe" [2007-02-06 1953792]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"razer"="c:\programme\Razer\Copperhead\razerhid.exe" [2005-10-08 155648]

"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2009-11-20 110184]

"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2009-11-20 12669544]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-08-24 24064]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2010-06-24 124928]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0OODBS
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dienst-Manager.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Dienst-Manager.lnk

backup=c:\winxp\pss\Dienst-Manager.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06        976832        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-06-20 02:04        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 10:43        69632        ------r-        c:\winxp\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        ----a-w-        c:\winxp\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]

2007-05-11 01:08        2512392        ----a-w-        c:\winxp\system32\oodtray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2007-04-12 09:33        16132608        ------r-        c:\winxp\RTHDCPL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"BlueSoleil Hid Service"=2 (0x2)

"Autodesk Licensing Service"=3 (0x3)

"O&O Defrag"=2 (0x2)

"JavaQuickStarterService"=2 (0x2)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\WINXP\\system32\\mmc.exe"=

"d:\\Spiele\\Far Cry 2\\bin\\FC2Editor.exe"=

"d:\\Spiele\\Dead Space\\Dead Space.exe"=

"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=

"d:\\Spiele\\Steam\\SteamApps\\***\\team fortress 2\\hl2.exe"=

"d:\\Spiele\\Steam\\Steam.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"d:\\Spiele\\Far Cry 2\\bin\\FarCry2.exe"=

"d:\\Spiele\\Prototype\\prototypef.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"d:\\Spiele\\S.T.A.L.K.E.R. - Call Of Pripyat\\bin\\xrEngine.exe"=

"d:\\Spiele\\S.T.A.L.K.E.R. - Call Of Pripyat\\bin\\dedicated\\xrEngine.exe"=

"c:\\Programme\\BlueSoleil\\BlueSoleil.exe"=

"c:\\Programme\\Xfire\\Xfire.exe"=

"c:\\Programme\\Miranda IM\\miranda32.exe"=

"d:\\Spiele\\Gearbox Software\\Borderlands\\Binaries\\Borderlands.exe"=

"d:\\Spiele\\Battlefield Bad Company 2\\BFBC2Updater.exe"=

"d:\\Spiele\\Modern Warfare 2\\iw4mp.exe"=

"c:\\Programme\\ICQ7.2\\ICQ.exe"=

"c:\\Programme\\ICQ7.2\\aolload.exe"=

"d:\\Spiele\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=

"d:\\Spiele\\Steam\\SteamApps\\common\\alien swarm\\srcds.exe"=

"d:\\Spiele\\Steam\\SteamApps\\***\\counter-strike source\\hl2.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 LUMDriver;LUMDriver;c:\winxp\system32\drivers\LUMDriver.sys [11.07.2003 15:22 14912]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 13:05 135336]

R2 BBDemon;Backbone Service;c:\programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [29.04.2006 07:32 49152]

R2 Start BT in service;Start BT in service;c:\programme\BlueSoleil\StartSkysolSvc.exe [19.03.2008 17:52 51816]

R3 Razerlow;Razer Copperhead Driver;c:\winxp\system32\drivers\Razerlow.sys [28.07.2008 09:13 19020]

S3 npggsvc;nProtect GameGuard Service;c:\winxp\system32\GameMon.des -service --> c:\winxp\system32\GameMon.des -service [?]

S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [21.06.2008 14:01 691696]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - uphcleanhlp

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kjdosw3m.default\

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-NWEReboot - (no file)

HKLM-Run-nwiz - nwiz.exe

MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe

MSConfigStartUp-MaxMenuMgr - c:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe

MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe

MSConfigStartUp-WinampAgent - c:\programme\Winamp\winampa.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-08-22 22:10

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\winxp\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-329068152-299502267-1801674531-1003\Software\SecuROM\License information*]

"datasecu"=hex:46,11,8b,69,ea,62,66,a2,99,55,0d,d6,21,ef,9e,d0,bc,4c,da,1b,57,

   76,cf,b0,27,66,9f,77,1f,71,3d,e8,cd,f4,76,45,59,c1,17,7c,6e,16,9b,3c,3f,dc,\

"rkeysecu"=hex:32,d0,69,74,3c,da,13,5f,03,33,41,6c,5b,eb,10,50
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG10.00.00.01WORKSTATION"="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"

.

Zeit der Fertigstellung: 2010-08-22  22:11:34

ComboFix-quarantined-files.txt  2010-08-22 20:11
 

Vor Suchlauf: 3.706.568.704 Bytes frei

Nach Suchlauf: 3.678.826.496 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINXP

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
 

- - End Of File - - 49E8E4025C31F38D832E17E84647FDCC

MFG

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

So, hier erstmal das Log von GMER

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-08-23 16:57:31

Windows 5.1.2600 Service Pack 3

Running: 1eowjypi.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uxtdypob.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT   B86BF826                                                                                                             ZwCreateKey

SSDT   B86BF81C                                                                                                             ZwCreateThread

SSDT   B86BF82B                                                                                                             ZwDeleteKey

SSDT   B86BF835                                                                                                             ZwDeleteValueKey

SSDT   B86BF83A                                                                                                             ZwLoadKey

SSDT   B86BF808                                                                                                             ZwOpenProcess

SSDT   B86BF80D                                                                                                             ZwOpenThread

SSDT   B86BF844                                                                                                             ZwReplaceKey

SSDT   B86BF83F                                                                                                             ZwRestoreKey

SSDT   B86BF830                                                                                                             ZwSetValueKey

SSDT   \??\C:\WINXP\system32\Drivers\uphcleanhlp.sys                                                                        ZwUnloadKey [0xB3BE26D0]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text  C:\WINXP\system32\DRIVERS\nv4_mini.sys                                                                               section is writeable [0xB6DE7380, 0x5414D5, 0xE8000020]

.text  C:\WINXP\system32\DRIVERS\atksgt.sys                                                                                 section is writeable [0xB3C26300, 0x3B6D8, 0xE8000020]

.text  C:\WINXP\system32\DRIVERS\lirsgt.sys                                                                                 section is writeable [0xB83B8300, 0x1BEE, 0xE8000020]

?      C:\WINXP\system32\Drivers\uphcleanhlp.sys                                                                            Das System kann die angegebene Datei nicht finden. !
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                           [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                             [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                              [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                             [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                             [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                              [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                           [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                              [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                           [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                             [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT    C:\WINXP\Explorer.EXE[1328] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  1

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0xAD 0xE3 0x3B 0x5D ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                     

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                  0x00 0x00 0x00 0x00 ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  2

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                               0x85 0x0C 0x96 0xDC ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  C:\Programme\DAEMON Tools Lite\

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                            

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0x21 0x99 0xE4 0x18 ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                         0x20 0x01 0x00 0x00 ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                       

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                 0xC0 0x9F 0x2A 0xCA ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0xDE 0x48 0x00 0x19 ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0xF7 0xEC 0x26 0x8E ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x51 0x46 0xBC 0x42 ...

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                      

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                0x29 0x07 0x93 0xDF ...

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x73 0x03 0x27 0xFA ...

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x8C 0xE9 0xD7 0x34 ...

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  

Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xB9 0x55 0x84 0xE3 ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      1

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                   0xAD 0xE3 0x3B 0x5D ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0x00 0x00 0x00 0x00 ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      2

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                   0x85 0x0C 0x96 0xDC ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)        

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x21 0x99 0xE4 0x18 ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                             0x20 0x01 0x00 0x00 ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                     0xC0 0x9F 0x2A 0xCA ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0xDE 0x48 0x00 0x19 ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xF7 0xEC 0x26 0x8E ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x51 0x46 0xBC 0x42 ...

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)  

Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                    0x29 0x07 0x93 0xDF ...

Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                                

Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION                                 BCAD1AE977DFA40CDB92912C62020CEB73543DC292F056240A4DB6E3499DF9DEF57C7A37CD01AE976AD9E3CC7E5634BA16FDC6647D26AF1751130C02E025179E5C1A6A5F7D5EA6F4FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452A6171C11EC38DE3DFEBC9E127BECC74CB50F0E5732A5870A9F8336CF4DB947CA857999B2DE8B7C6FFB4E3543832FAB2CAD3B450F36ABCD5F1118F7E01B28D0243FF233F14BE61CAE4CED61774A132F00B87AD7776E5E4AE7705C477270E6A8CE54F942DE7FFE4D5EE087C96C66B059ED57F2749FC21C7C427AB29DBACAA4E79EE351A9F4A76F6028DAD7DA81D6AD5513C7FD2F6E2239072334B1D4442901CB7D516B2E0373C4CDCA1ECFE1ED9B2671231429FE9D7FFDB452E3A42F6C8E90B4E8C4EFF72E1981AE18D41590B83BA8A0E5043540BBD2A7EF2E1589D068825DA771AC3A17ED4F9B4075EB7FFE3FBEB7F936A598B0A894E4C8A49614C23D92644F3DB559FA8E547CE4DE15992632354A3903CC7D749B445AF23C7CA76FC74C9675845712792FE804A261C4A66596AFCCBBCF8EBF941EE59F470B1CE1A934C3588D1548D94C435002249FB4997EC3C21D0635C470790E7DC040BD931123061104AA5083DE9093D3BDB44F619C9868898E3DDB8E58751D183DFD1
 

---- EOF - GMER 1.0.15 ----

und von OSAM

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 17:46:36 on 23.08.2010
 

OS: Windows XP Professional Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.21283
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Boot Execute]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----

"BootExecute" - "O&O Software GmbH" - C:\WINXP\system32\OODBS.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINXP\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINXP\system32\javacpl.cpl

"PhysX.cpl" - "NVIDIA Corporation" - C:\WINXP\system32\PhysX.cpl

"razer.cpl" - "Razer Inc." - C:\WINXP\system32\razer.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"atksgt" (atksgt) - ? - C:\WINXP\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINXP\system32\drivers\Changer.sys  (File not found)

"gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINXP\gdrv.sys

"HAMA PC-WEBCAM AC-130" (CAM1210) - "USB video camera" - C:\WINXP\System32\Drivers\cam1210.sys

"i2omgmt" (i2omgmt) - ? - C:\WINXP\system32\drivers\i2omgmt.sys  (File not found)

"InCD Reader" (InCDRm) - ? - C:\WINXP\System32\drivers\InCDRm.sys  (File not found)

"InCDPass" (InCDPass) - ? - C:\WINXP\System32\drivers\InCDPass.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINXP\system32\drivers\lbrtfdc.sys  (File not found)

"lirsgt" (lirsgt) - ? - C:\WINXP\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)

"LUMDriver" (LUMDriver) - "IBM" - C:\WINXP\system32\drivers\LUMDriver.sys

"PCIDump" (PCIDump) - ? - C:\WINXP\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINXP\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINXP\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINXP\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINXP\system32\drivers\PDRFRAME.sys  (File not found)

"PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINXP\System32\drivers\Afc.sys

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINXP\System32\Drivers\PxHelp20.sys

"Razer Copperhead Driver" (Razerlow) - "Razer (Asia-Pacific) Pte Ltd" - C:\WINXP\System32\Drivers\Razerlow.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\ssmdrv.sys

"TCP/IP-Protokolltreiber" (Tcpip) - "Microsoft Corporation" - C:\WINXP\System32\DRIVERS\tcpip.sys

"WDICA" (WDICA) - ? - C:\WINXP\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll

{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----

{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll

{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINXP\system32\nvcpl.dll

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINXP\system32\nvcpl.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll

{967B2D40-8B7D-4127-9049-61EA0C2C6DCE} "PowerISO" - ? -   (File not found | COM-object registry key not found)

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINXP\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINXP\system32\dfshim.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINXP\system32\Macromed\Flash\Flash10a.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"36X Raid Configurer" - "Gigabyte Technology Corp." - C:\WINXP\system32\JMRaidSetup.exe boot

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"JMB36X IDE Setup" - ? - C:\WINXP\JM\JMInsIDE.exe  (File found, but it contains no detailed information)

"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit

"razer" - ? - C:\Programme\Razer\Copperhead\razerhid.exe
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"PDFCreator" - ? - C:\WINXP\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Backbone Service" (BBDemon) - "Dassault Systemes" - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe

"HID Input Service" (HidServ) - ? -  C:\WINXP\System32\hidserv.dll  (File not found)

"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE

"nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\WINXP\system32\GameMon.des

"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINXP\system32\nvsvc32.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"Start BT in service" (Start BT in service) - ? - C:\Programme\BlueSoleil\StartSkysolSvc.exe  (File found, but it contains no detailed information)

"User Profile Hive Cleanup" (UPHClean) - "Microsoft Corporation" - C:\Programme\UPHClean\uphclean.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"WgaLogon" - "Microsoft Corporation" - C:\WINXP\system32\WgaLogon.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

bootkit_remover :

Code:

.\debug.cpp(238) : Debug log started at 23.08.2010 - 15:54:17

.\boot_cleaner.cpp(675) : Bootkit Remover

.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab

.\boot_cleaner.cpp(677) : www.esagelab.com

.\boot_cleaner.cpp(681) : Program version: 1.1.0.0

.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

.\debug.cpp(248) : **********************************************

.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********

.\debug.cpp(250) : **********************************************

.\debug.cpp(256) : 0x804d7000 0x0020e000 "\WINXP\system32\ntkrnlpa.exe"

.\debug.cpp(256) : 0x806e5000 0x00020d00 "\WINXP\system32\hal.dll"

.\debug.cpp(256) : 0xb85a8000 0x00002000 "\WINXP\system32\KDCOM.DLL"

.\debug.cpp(256) : 0xb84b8000 0x00003000 "\WINXP\system32\BOOTVID.dll"

.\debug.cpp(256) : 0xb7f78000 0x0002f000 "ACPI.sys"

.\debug.cpp(256) : 0xb85aa000 0x00002000 "\WINXP\system32\DRIVERS\WMILIB.SYS"

.\debug.cpp(256) : 0xb7f67000 0x00011000 "pci.sys"

.\debug.cpp(256) : 0xb80a8000 0x0000a000 "isapnp.sys"

.\debug.cpp(256) : 0xb8670000 0x00001000 "pciide.sys"

.\debug.cpp(256) : 0xb8328000 0x00007000 "\WINXP\system32\DRIVERS\PCIIDEX.SYS"

.\debug.cpp(256) : 0xb80b8000 0x0000b000 "MountMgr.sys"

.\debug.cpp(256) : 0xb7f48000 0x0001f000 "ftdisk.sys"

.\debug.cpp(256) : 0xb85ac000 0x00002000 "dmload.sys"

.\debug.cpp(256) : 0xb7f22000 0x00026000 "dmio.sys"

.\debug.cpp(256) : 0xb8330000 0x00005000 "PartMgr.sys"

.\debug.cpp(256) : 0xb80c8000 0x0000e000 "VolSnap.sys"

.\debug.cpp(256) : 0xb7f0a000 0x00018000 "atapi.sys"

.\debug.cpp(256) : 0xb80d8000 0x0000b000 "jraid.sys"

.\debug.cpp(256) : 0xb7ef2000 0x00018000 "\WINXP\system32\DRIVERS\SCSIPORT.SYS"

.\debug.cpp(256) : 0xb80e8000 0x00009000 "disk.sys"

.\debug.cpp(256) : 0xb80f8000 0x0000d000 "\WINXP\system32\DRIVERS\CLASSPNP.SYS"

.\debug.cpp(256) : 0xb7ed2000 0x00020000 "fltmgr.sys"

.\debug.cpp(256) : 0xb7ec0000 0x00012000 "sr.sys"

.\debug.cpp(256) : 0xb8108000 0x00009000 "PxHelp20.sys"

.\debug.cpp(256) : 0xb7ea9000 0x00017000 "KSecDD.sys"

.\debug.cpp(256) : 0xb7e96000 0x00013000 "WudfPf.sys"

.\debug.cpp(256) : 0xb7e09000 0x0008d000 "Ntfs.sys"

.\debug.cpp(256) : 0xb7ddc000 0x0002d000 "NDIS.sys"

.\debug.cpp(256) : 0xb84bc000 0x00004000 "vbtenum.sys"

.\debug.cpp(256) : 0xb7dc2000 0x0001a000 "Mup.sys"

.\debug.cpp(256) : 0xb85ae000 0x00002000 "JGOGO.sys"

.\debug.cpp(256) : 0xb8338000 0x00007000 "BTHidMgr.sys"

.\debug.cpp(256) : 0xb82a8000 0x0000a000 "\SystemRoot\system32\DRIVERS\intelppm.sys"

.\debug.cpp(256) : 0xb6e7b000 0x009c4000 "\SystemRoot\system32\DRIVERS\nv4_mini.sys"

.\debug.cpp(256) : 0xb6e67000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"

.\debug.cpp(256) : 0xb83f8000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys"

.\debug.cpp(256) : 0xb6e43000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"

.\debug.cpp(256) : 0xb8400000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"

.\debug.cpp(256) : 0xb6e1b000 0x00028000 "\SystemRoot\system32\DRIVERS\HDAudBus.sys"

.\debug.cpp(256) : 0xb82b8000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"

.\debug.cpp(256) : 0xb8408000 0x00008000 "\SystemRoot\system32\drivers\Afc.sys"

.\debug.cpp(256) : 0xb82c8000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys"

.\debug.cpp(256) : 0xb82d8000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"

.\debug.cpp(256) : 0xb6df8000 0x00023000 "\SystemRoot\system32\DRIVERS\ks.sys"

.\debug.cpp(256) : 0xb82e8000 0x0000d000 "\SystemRoot\system32\DRIVERS\i8042prt.sys"

.\debug.cpp(256) : 0xb8410000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"

.\debug.cpp(256) : 0xb82f8000 0x0000a000 "\SystemRoot\System32\Drivers\VcommMgr.sys"

.\debug.cpp(256) : 0xb8418000 0x00007000 "\SystemRoot\system32\DRIVERS\blueletaudio.sys"

.\debug.cpp(256) : 0xb6dd4000 0x00024000 "\SystemRoot\system32\DRIVERS\portcls.sys"

.\debug.cpp(256) : 0xb8308000 0x0000f000 "\SystemRoot\system32\DRIVERS\drmk.sys"

.\debug.cpp(256) : 0xb8420000 0x00006000 "\SystemRoot\system32\DRIVERS\BlueletSCOAudio.sys"

.\debug.cpp(256) : 0xb86bc000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"

.\debug.cpp(256) : 0xb85c4000 0x00002000 "\SystemRoot\System32\Drivers\RootMdm.sys"

.\debug.cpp(256) : 0xb8428000 0x00008000 "\SystemRoot\System32\Drivers\Modem.SYS"

.\debug.cpp(256) : 0xb8318000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"

.\debug.cpp(256) : 0xb8598000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"

.\debug.cpp(256) : 0xb6dbd000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"

.\debug.cpp(256) : 0xb8138000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"

.\debug.cpp(256) : 0xb8148000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"

.\debug.cpp(256) : 0xb8430000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"

.\debug.cpp(256) : 0xb6dac000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"

.\debug.cpp(256) : 0xb8158000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"

.\debug.cpp(256) : 0xb8438000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"

.\debug.cpp(256) : 0xb8440000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"

.\debug.cpp(256) : 0xb8448000 0x00007000 "\SystemRoot\system32\DRIVERS\VComm.sys"

.\debug.cpp(256) : 0xb7d9e000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"

.\debug.cpp(256) : 0xb6d7c000 0x00030000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"

.\debug.cpp(256) : 0xb8168000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"

.\debug.cpp(256) : 0xb8450000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"

.\debug.cpp(256) : 0xb85c6000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"

.\debug.cpp(256) : 0xb6c7e000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"

.\debug.cpp(256) : 0xb7d8e000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"

.\debug.cpp(256) : 0xb8178000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"

.\debug.cpp(256) : 0xb8188000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"

.\debug.cpp(256) : 0xb85ca000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"

.\debug.cpp(256) : 0xb46b0000 0x00456000 "\SystemRoot\system32\drivers\RtkHDAud.sys"

.\debug.cpp(256) : 0xb85ce000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"

.\debug.cpp(256) : 0xb87dd000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"

.\debug.cpp(256) : 0xb85d0000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"

.\debug.cpp(256) : 0xb8470000 0x00007000 "\SystemRoot\system32\DRIVERS\HIDPARSE.SYS"

.\debug.cpp(256) : 0xb8478000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"

.\debug.cpp(256) : 0xb85d2000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"

.\debug.cpp(256) : 0xb85d4000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"

.\debug.cpp(256) : 0xb8480000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"

.\debug.cpp(256) : 0xb8488000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"

.\debug.cpp(256) : 0xb6c5a000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"

.\debug.cpp(256) : 0xb4655000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"

.\debug.cpp(256) : 0xb45fc000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"

.\debug.cpp(256) : 0xb45d6000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"

.\debug.cpp(256) : 0xb45ae000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"

.\debug.cpp(256) : 0xb8198000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"

.\debug.cpp(256) : 0xb458c000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"

.\debug.cpp(256) : 0xb81a8000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"

.\debug.cpp(256) : 0xb8490000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"

.\debug.cpp(256) : 0xb4561000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"

.\debug.cpp(256) : 0xb44f1000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"

.\debug.cpp(256) : 0xb6c56000 0x00003000 "\??\C:\WINXP\system32\drivers\LUMDriver.sys"

.\debug.cpp(256) : 0xb81b8000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"

.\debug.cpp(256) : 0xb44cf000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"

.\debug.cpp(256) : 0xb85d8000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"

.\debug.cpp(256) : 0xb8498000 0x00008000 "\SystemRoot\system32\DRIVERS\usbccgp.sys"

.\debug.cpp(256) : 0xb84a0000 0x00005000 "\SystemRoot\System32\Drivers\Razerlow.sys"

.\debug.cpp(256) : 0xb6c3a000 0x00003000 "\SystemRoot\system32\DRIVERS\hidusb.sys"

.\debug.cpp(256) : 0xb81e8000 0x00009000 "\SystemRoot\system32\DRIVERS\HIDCLASS.SYS"

.\debug.cpp(256) : 0xb6c36000 0x00003000 "\SystemRoot\system32\DRIVERS\mouhid.sys"

.\debug.cpp(256) : 0xb6c2e000 0x00004000 "\SystemRoot\system32\DRIVERS\kbdhid.sys"

.\debug.cpp(256) : 0xb81f8000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"

.\debug.cpp(256) : 0xb443f000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"

.\debug.cpp(256) : 0xb85da000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"

.\debug.cpp(256) : 0xbf800000 0x001c5000 "\SystemRoot\System32\win32k.sys"

.\debug.cpp(256) : 0xb4b0e000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"

.\debug.cpp(256) : 0xb84a8000 0x00005000 "\SystemRoot\System32\watchdog.sys"

.\debug.cpp(256) : 0xbd000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"

.\debug.cpp(256) : 0xb86c2000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"

.\debug.cpp(256) : 0xbd012000 0x005fe000 "\SystemRoot\System32\nv4_disp.dll"

.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"

.\debug.cpp(256) : 0x99589000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"

.\debug.cpp(256) : 0x9957d000 0x00004000 "\SystemRoot\system32\DRIVERS\ndisuio.sys"

.\debug.cpp(256) : 0x99264000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"

.\debug.cpp(256) : 0x991d1000 0x00043000 "\SystemRoot\system32\DRIVERS\atksgt.sys"

.\debug.cpp(256) : 0xb83b0000 0x00005000 "\SystemRoot\system32\DRIVERS\lirsgt.sys"

.\debug.cpp(256) : 0x9908a000 0x00057000 "\SystemRoot\system32\DRIVERS\srv.sys"

.\debug.cpp(256) : 0x990e9000 0x00003000 "\??\C:\WINXP\system32\Drivers\uphcleanhlp.sys"

.\debug.cpp(256) : 0x98e1d000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"

.\debug.cpp(256) : 0x99191000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"

.\debug.cpp(256) : 0x98bd4000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"

.\debug.cpp(256) : 0x989dd000 0x00017000 "\SystemRoot\system32\DRIVERS\Rtenicxp.sys"

.\debug.cpp(256) : 0x988ea000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys"

.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINXP\system32\ntdll.dll"

.\debug.cpp(263) : **********************************************

.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********

.\debug.cpp(308) : **********************************************

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"

.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0885&SUBSYS_1458A002&REV_1001#4&808a433&0&0201#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000008e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"

.\debug.cpp(400) :              Destination="\Device\Ndis"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi3:"

.\debug.cpp(400) :              Destination="\Device\Ide\IdePort1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WUDFLpcDevice"

.\debug.cpp(400) :              Destination="\Device\WUDFLpcDevice"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"

.\debug.cpp(400) :              Destination="\Device\Video0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"

.\debug.cpp(400) :              Destination="\Device\Video1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\00000039"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth DUN Modem"

.\debug.cpp(400) :              Destination="\Device\00000036"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"

.\debug.cpp(400) :              Destination="\Device\DmControl\DmIoDaemon"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"

.\debug.cpp(400) :              Destination="\Device\00000055"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature835F835FOffsetC34F34A00Length2E031A3600#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"

.\debug.cpp(400) :              Destination="\Device\Ip"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"

.\debug.cpp(400) :              Destination="\Device\Video2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&88ab043&1#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"

.\debug.cpp(400) :              Destination="\Device\CdRom0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"

.\debug.cpp(400) :              Destination="\Device\IPSEC"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{35CA3BB9-F4DF-406A-88C1-A929AE014D7A}"

.\debug.cpp(400) :              Destination="\Device\{35CA3BB9-F4DF-406A-88C1-A929AE014D7A}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&1e850c4&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"

.\debug.cpp(400) :              Destination="\Device\00000076"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"

.\debug.cpp(400) :              Destination="\Device\avgio"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"

.\debug.cpp(400) :              Destination="\Device\Video3"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{D9671641-5591-4EAA-B5F7-387B4A25DC7A}"

.\debug.cpp(400) :              Destination="\Device\{D9671641-5591-4EAA-B5F7-387B4A25DC7A}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\00000038"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{c045b8b5-3d47-11dd-aa13-806d6172696f}"

.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"

.\debug.cpp(400) :              Destination="\Device\NDProxy"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi4:"

.\debug.cpp(400) :              Destination="\Device\Scsi\JRAID1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ProcessManagement"

.\debug.cpp(400) :              Destination="\Device\ProcessManagement"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#HIDCLASS#0000#{57574d37-c5e9-412d-a115-fa6d779eff08}"

.\debug.cpp(400) :              Destination="\Device\00000006"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"

.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0885&SUBSYS_1458A002&REV_1001#4&808a433&0&0201#{86841137-ed8e-4d97-9975-f2ed56b4430e}"

.\debug.cpp(400) :              Destination="\Device\0000008e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2937&SUBSYS_50041458&REV_02#3&13c0b0c5&0&D0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0002"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MODEM#0000#{2c7089aa-2e0e-11d1-b114-00c04fc2aae4}"

.\debug.cpp(400) :              Destination="\Device\00000035"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"

.\debug.cpp(400) :              Destination="\Device\RdpDrDvMgr"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{c045b8b4-3d47-11dd-aa13-806d6172696f}"

.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2934&SUBSYS_50041458&REV_02#3&13c0b0c5&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0010"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0000#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000040"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\BTHidMgr"

.\debug.cpp(400) :              Destination="\Device\BTHidMgr"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"

.\debug.cpp(400) :              Destination="\Device\WMIDataDevice"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth Fax Modem"

.\debug.cpp(400) :              Destination="\Device\00000035"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"

.\debug.cpp(400) :              Destination="\FileSystem\Filters\avgntflt"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\uphcleanhlp"

.\debug.cpp(400) :              Destination="\Device\uphcleanhlp"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2935&SUBSYS_50041458&REV_02#3&13c0b0c5&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0011"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2936&SUBSYS_50041458&REV_02#3&13c0b0c5&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_293A&SUBSYS_50061458&REV_02#3&13c0b0c5&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0013"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0091&SUBSYS_02C210DE&REV_A1#4&1a9c9f1a&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0019"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"

.\debug.cpp(400) :              Destination="\Device\NamedPipe"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"

.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0006#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000046"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"

.\debug.cpp(400) :              Destination="\Device\00000051"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM3"

.\debug.cpp(400) :              Destination="\Device\Serial2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"

.\debug.cpp(400) :              Destination="\Device\PSched"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"

.\debug.cpp(400) :              Destination="\Device\Mup"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"

.\debug.cpp(400) :              Destination="\Device\IPNAT"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM4"

.\debug.cpp(400) :              Destination="\Device\Serial3"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"

.\debug.cpp(400) :              Destination="\Device\USBFDO-0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000002e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"

.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgrMsg"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"

.\debug.cpp(400) :              Destination="\Device\Tcp"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&30b58b36&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0008#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000048"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM5"

.\debug.cpp(400) :              Destination="\Device\Serial4"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"

.\debug.cpp(400) :              Destination="\Device\VideoPdo0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"

.\debug.cpp(400) :              Destination="\Device\USBFDO-1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0003#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000043"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\0000003e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_2#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"

.\debug.cpp(400) :              Destination="\Device\00000053"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM6"

.\debug.cpp(400) :              Destination="\Device\Serial5"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"

.\debug.cpp(400) :              Destination="\Device\Harddisk0\DR0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\0000003c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"

.\debug.cpp(400) :              Destination="\DosDevices\LPT1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&bd04752&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-5"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"

.\debug.cpp(400) :              Destination="\Device\USBFDO-2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM7"

.\debug.cpp(400) :              Destination="\Device\Serial6"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0885&SUBSYS_1458A002&REV_1001#4&808a433&0&0201#{dda54a40-1e4c-11d1-a050-405705c10000}"

.\debug.cpp(400) :              Destination="\Device\0000008e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"

.\debug.cpp(400) :              Destination="\Device\sysaudio"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"

.\debug.cpp(400) :              Destination="\Device\FsWrap"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"

.\debug.cpp(400) :              Destination="\Device\USBFDO-3"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0007#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000047"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0004#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000044"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\0000003b"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM8"

.\debug.cpp(400) :              Destination="\Device\Serial7"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"

.\debug.cpp(400) :              Destination="\Device\CdRom0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0000#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000002e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"

.\debug.cpp(400) :              Destination="\Device\USBFDO-4"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&70ace42&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0E28496E-0F3B-4C0B-94AD-C062E7CD7946}"

.\debug.cpp(400) :              Destination="\Device\{0E28496E-0F3B-4C0B-94AD-C062E7CD7946}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM9"

.\debug.cpp(400) :              Destination="\Device\Serial8"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0001#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000002f"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"

.\debug.cpp(400) :              Destination="\GLOBAL??"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LUMDriver"

.\debug.cpp(400) :              Destination="\Device\LUMDriver"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD5"

.\debug.cpp(400) :              Destination="\Device\USBFDO-5"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0005#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000045"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0002#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000042"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{435F5762-0FEB-487B-B956-510E38242255}"

.\debug.cpp(400) :              Destination="\Device\{435F5762-0FEB-487B-B956-510E38242255}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"

.\debug.cpp(400) :              Destination="\Device\00000059"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0885&SUBSYS_1458A002&REV_1001#4&808a433&0&0201#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000008e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD6"

.\debug.cpp(400) :              Destination="\Device\USBFDO-6"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MODEM#0001#{2c7089aa-2e0e-11d1-b114-00c04fc2aae4}"

.\debug.cpp(400) :              Destination="\Device\00000036"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"

.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"

.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_1532&Pid_0101&MI_01#7&1ee692d9&0&0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"

.\debug.cpp(400) :              Destination="\Device\00000094"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&2d364fd6&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-4"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD7"

.\debug.cpp(400) :              Destination="\Device\USBFDO-7"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2938&SUBSYS_50041458&REV_02#3&13c0b0c5&0&D1#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0003"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SCSI#CdRom&Ven_HL-DT-ST&Prod_DVDRAM_GSA-4165B&Rev_DL03#5&2cfd9831&0&000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\Scsi\JRAID1Port4Path0Target0Lun0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_1532&Pid_0101#5&22954613&0&1#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-8"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000002f"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0001#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000002f"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&26397ab7&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-3"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\VcommMgrDevice"

.\debug.cpp(400) :              Destination="\Device\VcommMgrDevice"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_1#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"

.\debug.cpp(400) :              Destination="\Device\00000052"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"

.\debug.cpp(400) :              Destination="\Device\MountPointManager"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"

.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0000#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000002e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_1532&Pid_0101&MI_00#6&286bef29&0&0000#{d2f9ad00-6ae9-11d5-88f8-0080c8ef5b74}"

.\debug.cpp(400) :              Destination="\Device\00000091"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"

.\debug.cpp(400) :              Destination="\Device\ssmctl"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&99f0121&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-7"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&269b1df4&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"

.\debug.cpp(400) :              Destination="\Device\USBPDO-6"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\00000037"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"

.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"

.\debug.cpp(400) :              Destination="\Device\DmControl\DmConfig"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RealTekCard"

.\debug.cpp(400) :              Destination="\Device\RealTekCard"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"

.\debug.cpp(400) :              Destination="\Device\WANARP"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0885&SUBSYS_1458A002&REV_1001#4&808a433&0&0201#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"

.\debug.cpp(400) :              Destination="\Device\0000008e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2939&SUBSYS_50041458&REV_02#3&13c0b0c5&0&D2#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0004"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\00000005"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0000#{dda54a40-1e4c-11d1-a050-405705c10000}"

.\debug.cpp(400) :              Destination="\Device\0000002e"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_293C&SUBSYS_50061458&REV_02#3&13c0b0c5&0&D7#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0005"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PORTS#0001#{4d36e978-e325-11ce-bfc1-08002be10318}"

.\debug.cpp(400) :              Destination="\Device\00000041"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{2F61D4EC-8926-4277-9F3A-EAF30E5D80B2}"

.\debug.cpp(400) :              Destination="\Device\{2F61D4EC-8926-4277-9F3A-EAF30E5D80B2}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"

.\debug.cpp(400) :              Destination="\Device\DmControl\DmTrace"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"

.\debug.cpp(400) :              Destination="\Device\NdisWanIp"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\00000004"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\razerlow"

.\debug.cpp(400) :              Destination="\Device\razerlow"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"

.\debug.cpp(400) :              Destination="\Device\Ide\IdePort0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"

.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10EC&DEV_8168&SUBSYS_E0001458&REV_01#4&cf4e44&0&00E5#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0021"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\lirsgt"

.\debug.cpp(400) :              Destination="\Device\lirsgt"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"

.\debug.cpp(400) :              Destination="\Device\0000003a"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"

.\debug.cpp(400) :              Destination="\Device\ParTechInc0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{73ced5d0-3d3c-11dd-a731-806d6172696f}"

.\debug.cpp(400) :              Destination="\Device\CdRom0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"

.\debug.cpp(400) :              Destination="\Device\0000004c"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"

.\debug.cpp(400) :              Destination="\Device\NdisTapi"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"

.\debug.cpp(400) :              Destination="\Device\NdisWan"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"

.\debug.cpp(400) :              Destination="\Device\Ide\IdePort2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"

.\debug.cpp(400) :              Destination="\Device\IPMULTICAST"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"

.\debug.cpp(400) :              Destination="\Device\ParTechInc1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"

.\debug.cpp(400) :              Destination="\Device\DmLoader"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature835F835FOffset7E00LengthC34F24E00#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"

.\debug.cpp(400) :              Destination="\Device\LanmanRedirector"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"

.\debug.cpp(400) :              Destination="\Device\ParTechInc2"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"

.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgr"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_1532&Pid_0101&MI_00#7&7230694&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"

.\debug.cpp(400) :              Destination="\Device\00000093"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"

.\debug.cpp(400) :              Destination="\Device\FtControl"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"

.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MEDIA#0001#{dda54a40-1e4c-11d1-a050-405705c10000}"

.\debug.cpp(400) :              Destination="\Device\0000002f"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskST3250820NS_____________________________3.AEK___#5&3d0951c&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T0L0-3"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"

.\debug.cpp(400) :              Destination="\Device\MailSlot"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"

.\debug.cpp(400) :              Destination="\DosDevices\COM1"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E8C22410-7A7D-404C-88BF-786F3E1DC907}"

.\debug.cpp(400) :              Destination="\Device\{E8C22410-7A7D-404C-88BF-786F3E1DC907}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"

.\debug.cpp(400) :              Destination=""
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_1532&Pid_0101&MI_01#7&1ee692d9&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"

.\debug.cpp(400) :              Destination="\Device\00000094"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi2:"

.\debug.cpp(400) :              Destination="\Device\Ide\IdePort3"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\atksgt"

.\debug.cpp(400) :              Destination="\Device\atksgt"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"

.\debug.cpp(400) :              Destination="\Device\Ndisuio"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"

.\debug.cpp(400) :              Destination="\Device\0000004b"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"

.\debug.cpp(400) :              Destination="\Device\Null"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Aaspi0"

.\debug.cpp(400) :              Destination="\Device\Aaspi0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_197B&DEV_2363&SUBSYS_B0001458&REV_02#4&345cafaf&0&00E4#{2accfe60-c130-11d2-b082-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0020"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_1532&Pid_0101&MI_00#7&7230694&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"

.\debug.cpp(400) :              Destination="\Device\00000093"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SCSI#CdRom&Ven_HL-DT-ST&Prod_DVDRAM_GSA-4165B&Rev_DL03#5&2cfd9831&0&000#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"

.\debug.cpp(400) :              Destination="\Device\Scsi\JRAID1Port4Path0Target0Lun0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"

.\debug.cpp(400) :              Destination="\Device\0000004a"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{EEACF48B-DCF5-4689-BDAB-6E01D2C7004F}"

.\debug.cpp(400) :              Destination="\Device\{EEACF48B-DCF5-4689-BDAB-6E01D2C7004F}"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_3#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"

.\debug.cpp(400) :              Destination="\Device\00000054"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM10"

.\debug.cpp(400) :              Destination="\Device\Serial9"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SCSI#CdRom&Ven_HL-DT-ST&Prod_DVDRAM_GSA-4165B&Rev_DL03#5&2cfd9831&0&000#{1186654d-47b8-48b9-beb9-7df113ae3c67}"

.\debug.cpp(400) :              Destination="\Device\Scsi\JRAID1Port4Path0Target0Lun0"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"

.\debug.cpp(400) :              Destination="\Device\avipbb"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM11"

.\debug.cpp(400) :              Destination="\Device\Serial10"
 

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"

.\debug.cpp(400) :              Destination="\Device\DmControl\DmInfo"
 

.\debug.cpp(451) : **********************************************

.\boot_cleaner.cpp(1077) : System volume is \\.\C:

.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

.\boot_cleaner.cpp(424) : Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

.\boot_cleaner.cpp(1151) : 

.\boot_cleaner.cpp(1152) :      Size  Device Name          MBR Status

.\boot_cleaner.cpp(1153) :  --------------------------------------------

.\boot_cleaner.cpp(1197) :    232 GB  \\.\PhysicalDrive0   Unknown boot code

.\boot_cleaner.cpp(1203) : 

.\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks.

.\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector:

.\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file]

.\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command:

.\boot_cleaner.cpp(1217) : remover.exe fix <device_name>

.\boot_cleaner.cpp(1220) : 

.\boot_cleaner.cpp(1242) : Done;

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Professional

Windows Information:                Service Pack 3 (build 2600)

Logical Drives Mask:                0x0000001c
 

Kernel Drivers (total 128):

  0x804D7000 \WINXP\system32\ntkrnlpa.exe

  0x806E5000 \WINXP\system32\hal.dll

  0xB85A8000 \WINXP\system32\KDCOM.DLL

  0xB84B8000 \WINXP\system32\BOOTVID.dll

  0xB7F78000 ACPI.sys

  0xB85AA000 \WINXP\system32\DRIVERS\WMILIB.SYS

  0xB7F67000 pci.sys

  0xB80A8000 isapnp.sys

  0xB8670000 pciide.sys

  0xB8328000 \WINXP\system32\DRIVERS\PCIIDEX.SYS

  0xB80B8000 MountMgr.sys

  0xB7F48000 ftdisk.sys

  0xB85AC000 dmload.sys

  0xB7F22000 dmio.sys

  0xB8330000 PartMgr.sys

  0xB80C8000 VolSnap.sys

  0xB7F0A000 atapi.sys

  0xB80D8000 jraid.sys

  0xB7EF2000 \WINXP\system32\DRIVERS\SCSIPORT.SYS

  0xB80E8000 disk.sys

  0xB80F8000 \WINXP\system32\DRIVERS\CLASSPNP.SYS

  0xB7ED2000 fltmgr.sys

  0xB7EC0000 sr.sys

  0xB8108000 PxHelp20.sys

  0xB7EA9000 KSecDD.sys

  0xB7E96000 WudfPf.sys

  0xB7E09000 Ntfs.sys

  0xB7DDC000 NDIS.sys

  0xB84BC000 vbtenum.sys

  0xB7DC2000 Mup.sys

  0xB85AE000 JGOGO.sys

  0xB8338000 BTHidMgr.sys

  0xB8248000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xB6B08000 \SystemRoot\system32\DRIVERS\nv4_mini.sys

  0xB6AF4000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xB8430000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0xB6AD0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xB8438000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xB6AA8000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xB8258000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xB8440000 \SystemRoot\system32\drivers\Afc.sys

  0xB8268000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xB8278000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xB6A85000 \SystemRoot\system32\DRIVERS\ks.sys

  0xB6A6E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys

  0xB8288000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xB8450000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xB8298000 \SystemRoot\System32\Drivers\VcommMgr.sys

  0xB8458000 \SystemRoot\system32\DRIVERS\blueletaudio.sys

  0xB6A4A000 \SystemRoot\system32\DRIVERS\portcls.sys

  0xB82A8000 \SystemRoot\system32\DRIVERS\drmk.sys

  0xB8460000 \SystemRoot\system32\DRIVERS\BlueletSCOAudio.sys

  0xB87D4000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xB85C8000 \SystemRoot\System32\Drivers\RootMdm.sys

  0xB8468000 \SystemRoot\System32\Drivers\Modem.SYS

  0xB82B8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xB8590000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xB6A33000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xB82C8000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xB82D8000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xB8470000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xB6A22000 \SystemRoot\system32\DRIVERS\psched.sys

  0xB82E8000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xB8478000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xB8480000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xB8488000 \SystemRoot\system32\DRIVERS\VComm.sys

  0xB85A0000 \SystemRoot\system32\DRIVERS\serenum.sys

  0xB69F2000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xB82F8000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xB8490000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xB85CA000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xB68F4000 \SystemRoot\system32\DRIVERS\update.sys

  0xB7D96000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xB8308000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xB8318000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xB85CE000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xB4326000 \SystemRoot\system32\drivers\RtkHDAud.sys

  0xB85D2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xB87C7000 \SystemRoot\System32\Drivers\Null.SYS

  0xB85D4000 \SystemRoot\System32\Drivers\Beep.SYS

  0xB8358000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xB8390000 \SystemRoot\System32\drivers\vga.sys

  0xB85D6000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xB85D8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xB8398000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xB83A0000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xB68D0000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xB42CB000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xB4272000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xB424A000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xB4224000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xB8138000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xB4202000 \SystemRoot\System32\drivers\afd.sys

  0xB8148000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xB83A8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0xB41D7000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xB4167000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xB68CC000 \??\C:\WINXP\system32\drivers\LUMDriver.sys

  0xB8158000 \SystemRoot\System32\Drivers\Fips.SYS

  0xB4145000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0xB85DC000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys

  0xB83B0000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xB83B8000 \SystemRoot\System32\Drivers\Razerlow.sys

  0xB68B0000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xB8188000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xB68AC000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0xB68A4000 \SystemRoot\system32\DRIVERS\kbdhid.sys

  0xB8198000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xB40B5000 \SystemRoot\System32\Drivers\dump_atapi.sys

  0xB85DE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xB4790000 \SystemRoot\System32\drivers\Dxapi.sys

  0xB83C8000 \SystemRoot\System32\watchdog.sys

  0xBD000000 \SystemRoot\System32\drivers\dxg.sys

  0xB86FE000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBD012000 \SystemRoot\System32\nv4_disp.dll

  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL

  0xB3CFF000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0xB3CFB000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0xB39B2000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xB396F000 \SystemRoot\system32\DRIVERS\atksgt.sys

  0xB8420000 \SystemRoot\system32\DRIVERS\lirsgt.sys

  0xB3828000 \SystemRoot\system32\DRIVERS\srv.sys

  0xB3947000 \??\C:\WINXP\system32\Drivers\uphcleanhlp.sys

  0xB35BB000 \SystemRoot\system32\drivers\wdmaud.sys

  0xB38EF000 \SystemRoot\system32\drivers\sysaudio.sys

  0xB3278000 \SystemRoot\System32\Drivers\HTTP.sys

  0x7C910000 \WINXP\system32\ntdll.dll
 

Processes (total 33):

       0 System Idle Process

       4 System

     680 C:\WINXP\system32\smss.exe

     736 csrss.exe

     760 C:\WINXP\system32\winlogon.exe

     804 C:\WINXP\system32\services.exe

     816 C:\WINXP\system32\lsass.exe

    1028 C:\WINXP\system32\nvsvc32.exe

    1060 C:\WINXP\system32\svchost.exe

    1128 svchost.exe

    1224 C:\WINXP\system32\svchost.exe

    1264 C:\WINXP\system32\svchost.exe

    1372 svchost.exe

    1424 svchost.exe

    1580 C:\WINXP\system32\spoolsv.exe

    1648 C:\Programme\Avira\AntiVir Desktop\sched.exe

    1724 svchost.exe

    1804 C:\Programme\Avira\AntiVir Desktop\avguard.exe

    1820 C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe

    1944 C:\Programme\BlueSoleil\StartSkysolSvc.exe

    2004 C:\WINXP\system32\svchost.exe

    2036 C:\Programme\UPHClean\uphclean.exe

     272 C:\Programme\Avira\AntiVir Desktop\avshadow.exe

     724 alg.exe

    1388 C:\WINXP\explorer.exe

     184 C:\Programme\Avira\AntiVir Desktop\avgnt.exe

    1200 C:\Programme\Razer\Copperhead\razerhid.exe

    3004 C:\Programme\Razer\Copperhead\razertra.exe

    3020 C:\Programme\Razer\Copperhead\razerofa.exe

    3324 C:\Programme\ICQ7.2\ICQ.exe

    3976 D:\Spiele\Steam\Steam.exe

     448 C:\Programme\Mozilla Firefox\firefox.exe

    3236 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00  (NTFS)
 

PhysicalDrive0 Model Number: ST3250820NS, Rev: 3.AEK   
 

      Size  Device Name          MBR Status

  --------------------------------------------

    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
 
 

Done!

Auch ok.
Was ist an diesem Rechner anders? Der andere PC erzeugt keine solchen Meldungen durch den Router?

hm... das OS ist exakt dasselbe, genauso wie die ICQ-Version...der Firefox ist glaube älter auf dem anderen Rechner (aber nicht viel älter 3.6.6 glaube), werd ich morgen mal updaten und gucken was passiert.

Ich muss dazu sagen, dass ICQ jetz schon seit 3 Tagen nicht mehr selbstständig disconnected, aber die Land's immer noch erscheinen....sehr kurios.

Sieht sehr nach einem Fehlalarm aus, aber warum erst nach 5 Jahren sowas :confused:

Ich vermute mal es ist ein Bug irgendeiner Software, der mit einem Update gekommen ist.

Es besteht ja noch die Möglichkeit, dass der Angriff von Außen kommt... allerdings hab ich eine dynamische IP, die bei jedem Login ins Internet anders ist. Und selbst wenn, müssten dann die Land's ja auch im Router auftauchen, wenn ich mit dem anderen Rechner on bin. Wie sollte er denn herausfinden welche IP immer zu meinem Rechner gehört und nicht zu dem Anderen.

Achja, bei dem anderen Rechner fehlen auch noch ein paar der letzten Windows-Updates (er ist halt wenig an)...vllt liegt auch da möglicherweise der Hase im Pfeffer.

MFG

So!

Ich glaube ich habe den Übeltäter gefunden. Mozilla Firefox in der Version 3.6.8 !

Wie gesag, hatte ich auf diesem Rechner hier bis eben noch die ältere Version 3.6.6 drauf.

Als ich eben das aktuellste Update auf Version 3.6.8 gemacht habe und Firefox neugestartet habe, kamen zum ersten Mal Land-Meldungen im Router-Log mit der IP dieses Rechners.

Wird Firefox auch von ICQ zum Anzeigen von Werbung benutzt, wenn Firefox als Standardbrowser eingestellt ist? Auch von Steam? Wenn ja, würde das auch erklären warum ich die Lands kriege obwohl Firefox nicht an ist.

Edit: Eben hat hier ICQ auch zum ersten mal disconnected... scheint also wirklich an Firefox zu liegen.

MFG

An Firefox 3.6.8 solls liegen? :confused:
Kann ich mir kaum vorstellen. Ist das reproduzierbar? Auf dem "Problemrechner" mal ein downgrade auf FF 3.6.6 gemacht und es kamen keine Routerwarnungen mehr?

EDith: http://www.router-forum.de/board-smc...75-page-1.html

Was soll das Crossposting :koch:

So hier is ne Liste der FF-Releases :

hxxp://releases.mozilla.org/pub/mozilla.org/firefox/releases/

Aber wie krieg ich das runtergeladen und wie installieren? :rolleyes: :lach:

MFG