|
Computer gesperrt - System der automatischen Informationskontrolle Hallo, als ich heute morgen im Internet surfte wurde von einer Sekunde auf die andere der Bildschirm weiß und es kam die Meldung: "Durch das System der automatischen Informationskontrolle wurde Ihr Computer gesperrt." Rechts oben erscheint das Logo der österreichischen Polizei. Es werden auch einige Gründe benannt, z.B. dass man sich verbotene Websites angesehen habe. Es wird verlangt, dass man 100 € bezahlen soll. Die Bezahlung soll mittles eines Programms namens Ukash erfolgen. Man kann das Fenster nicht schließen und es füllt den ganzen Bildschirm aus. Ich habe zunächst versucht die Meldung mit ATL+F4 zu beenden sowie den Task-Manager aufgerufen, dieser schließt sich jedoch nach ein paar Sekunden von selbst wieder. Wenn man den Computer abdreht und danach wieder aufdreht, kommt das selbe nochmal. Ich habe daraufhin mit einem anderen Computer im Internet recherchiert, um sicherzugehen, dass es sich "nur" um eine Art Virus handelt. Dadurch bin ich auf eure Internetseite gestoßen, wo andere User ähnliche Probleme beschrieben. Außerdem las ich auf eurer Seite, dass man auf keinen Fall die Anweisungen, die ihr einem anderen User gegeben habt, der ein ähnliches Problem hat, einfach auch ausführen soll, auch wenn es noch so offensichtlich erscheint, dass es das selbe Problem ist, da jedes Problem individuell behandelt werden muss. Ich habe dann die Anleitung befolgt und den Computer im Abgesicherten Modus gestartet. Anschließend habe ich die Programme heruntergeladen und ausgeführt. Die daraus gewonnenen Daten befinden sich weiter unten. Ich hoffe ich habe die Daten richtig ermittelt und ihr könnt mir helfen. Auf jeden Fall bedanke mich schon mal für die Mühe!!! :dankeschoen: Lg Sarah OTL: OTL logfile created on: 09.10.2012 10:19:29 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Sarah\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,55 Gb Available Physical Memory | 78,03% Memory free 3,84 Gb Paging File | 3,67 Gb Available in Paging File | 95,49% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 82,79 Gb Free Space | 35,55% Space Free | Partition Type: NTFS Computer Name: NOTEBOOK | User Name: Sarah | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.10.09 10:19:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe PRC - [2012.03.11 12:23:42 | 000,149,280 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\javaw.exe PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.09.20 20:16:01 | 000,250,288 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.09.19 16:21:14 | 000,795,072 | ---- | M] (Spigot, Inc.) [Auto | Stopped] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater) SRV - [2012.08.13 13:33:30 | 003,064,000 | ---- | M] (Skype Technologies S.A.) [Auto | Stopped] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.07.08 21:00:24 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.09.15 13:06:04 | 000,088,576 | ---- | M] () [Auto | Stopped] -- C:\Programme\HTC\Internet Pass-Through\PassThruSvr.exe -- (PassThru Service) SRV - [2010.03.18 12:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2008.07.03 16:28:52 | 000,259,528 | ---- | M] () [Auto | Stopped] -- C:\Programme\3DataManager\WTGService.exe -- (WTGService) SRV - [2007.11.21 17:23:32 | 000,129,632 | ---- | M] (TOSHIBA Corporation) [Auto | Stopped] -- C:\WINDOWS\system32\TODDSrv.exe -- (TODDSrv) SRV - [2007.04.10 08:45:20 | 000,035,840 | ---- | M] (TOSHIBA Corp.) [Auto | Stopped] -- C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV) SRV - [2005.11.14 02:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2005.01.17 17:38:00 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto | Stopped] -- C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe -- (CFSvcs) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.06.22 19:01:52 | 000,021,248 | ---- | M] (Windows (R) Win 7 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\htcnprot.sys -- (htcnprot) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.06.10 00:49:32 | 000,024,576 | ---- | M] (HTC, Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ANDROIDUSB.sys -- (HTCAND32) DRV - [2008.08.27 21:39:10 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - [2008.08.27 21:39:10 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - [2008.08.27 21:39:10 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - [2008.03.25 07:22:50 | 000,985,472 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV) DRV - [2008.03.25 07:22:10 | 000,210,560 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL) DRV - [2008.03.25 07:22:06 | 000,731,264 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2008.01.30 12:28:36 | 004,725,760 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - [2008.01.03 23:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2007.12.26 11:20:18 | 000,288,000 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8187B.sys -- (RTL8187B) DRV - [2007.08.20 15:28:10 | 010,384,896 | ---- | M] (Sonix Co. Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\snp325.sys -- (SNP325) DRV - [2007.07.16 23:29:33 | 000,017,432 | R--- | M] (Hewlett Packard) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hpfxbulk.sys -- (HPFXBULK) DRV - [2007.04.04 08:56:48 | 000,005,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\FwLnk.sys -- (FwLnk) DRV - [2007.03.26 12:22:18 | 000,105,856 | ---- | M] (TOSHIBA Corporation) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\tdudf.sys -- (tdudf) DRV - [2007.02.22 15:10:30 | 000,016,128 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tdcmdpst.sys -- (tdcmdpst) DRV - [2007.02.19 12:15:32 | 000,134,016 | ---- | M] (TOSHIBA Corporation) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\trudf.sys -- (trudf) DRV - [2003.12.03 17:44:58 | 000,013,566 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cdrbsvsd.sys -- (cdrbsvsd) DRV - [2003.01.29 15:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio) DRV - [2002.10.15 22:41:06 | 000,102,220 | ---- | M] (Sony Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sonypvs1.sys -- (sonypvs1) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZUxdm556YYAT&fl=0&ptb=kl_pa0BACpJdNH.QDkUBQw&url=hxxp://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}&si=39496 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.facebook.com/ IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Programme\YTD Toolbar\IE\6.3\ytdToolbarIE.dll (Spigot, Inc.) IE - HKCU\..\SearchScopes,DefaultScope = {A03AAE2E-506E-4C15-ABDE-4ABC7B8F5A2D} IE - HKCU\..\SearchScopes\{22000243-FE37-4B24-A7D0-ADCCC820BBE7}: "URL" = hxxp://www.youtube.de/results?search_query={searchTerms} IE - HKCU\..\SearchScopes\{63ABB52E-7C34-4F24-9238-7E1B564AFE13}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=IE8SRC&src=IE-SearchBox IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADBF IE - HKCU\..\SearchScopes\{7D0FD006-6C71-4C98-9F25-27A2BEA49F5B}: "URL" = hxxp://www.wolframalpha.com/input/?i={searchTerms} IE - HKCU\..\SearchScopes\{A03AAE2E-506E-4C15-ABDE-4ABC7B8F5A2D}: "URL" = hxxp://ecosia.org/search.php?q={searchTerms}&addon=opensearch IE - HKCU\..\SearchScopes\{BDDC855A-E75F-4BB7-A5A3-A70BF9D08D9E}: "URL" = hxxp://de.wikipedia.org/w/index.php?title=Spezial:Suche&search={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.param.yahoo-fr: "&hsimp=yhs-affiliate_a_ff&hspart=greentree&type=937811" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.facebook.com/" FF - prefs.js..extensions.enabledAddons: wtxpcom@mybrowserbar.com:6.3 FF - prefs.js..extensions.enabledAddons: ytd@mybrowserbar.com:6.3 FF - prefs.js..extensions.enabledItems: sparweltgutscheinewl@sparwelt.de:1.0 FF - prefs.js..extensions.enabledItems: {40c3cc16-7269-4b32-9531-17f2950fb06f}:2.5.8.6 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..keyword.URL: "hxxp://at.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=937811&p=" FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.06.26 15:35:36 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.08 21:00:25 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.03 20:52:08 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Thunderbird\Extensions\\{d591241b-9967-418c-9b7d-ee128131d60d}: C:\Programme\GMX MultiMessenger\ThunderbirdSyncProxy [2009.06.22 19:56:21 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Extensions [2009.06.22 19:56:21 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Extensions\mozswing@mozswing.org [2012.10.09 10:07:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions [2012.08.22 18:41:08 | 000,000,000 | ---D | M] (Winload Community Toolbar) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\{40c3cc16-7269-4b32-9531-17f2950fb06f} [2012.07.30 14:23:17 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2010.02.27 22:22:14 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} [2011.06.13 20:07:35 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com [2010.05.07 14:49:13 | 000,000,000 | ---D | M] (WINLOAD-Gutschein-Alarm) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\sparweltgutscheinewl@sparwelt.de [2012.10.09 10:07:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\staged [2012.03.22 08:54:45 | 000,020,591 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi [2010.01.06 20:08:08 | 000,002,314 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\searchplugins\forestle-de.xml [2012.10.04 12:48:12 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\searchplugins\icqplugin-2.xml [2010.02.19 16:43:48 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\searchplugins\icqplugin-3.xml [2010.03.12 22:28:00 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\searchplugins\icqplugin-4.xml [2009.11.12 18:48:29 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\searchplugins\icqplugin.xml [2012.03.18 12:28:15 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.08.07 14:42:07 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2012.09.15 16:36:47 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2012.09.30 18:03:48 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM [2012.09.30 18:03:48 | 000,000,000 | ---D | M] (YTD Toolbar) -- C:\PROGRAMME\YTD TOOLBAR\FF [2012.07.08 21:00:25 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.03.11 12:23:44 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2009.07.07 08:42:40 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Programme\mozilla firefox\plugins\NPMyWebS.dll [2012.03.18 12:28:05 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.03.18 12:28:05 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.03.18 12:28:05 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.03.18 12:28:05 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.03.18 12:28:05 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.03.18 12:28:04 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.01.15 11:26:47 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Programme\DealPly\DealPlyIE.dll (DealPly Technologies Ltd) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.) O2 - BHO: (CmjBrowserHelperObject Object) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll (Mindjet) O2 - BHO: (YTD Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Programme\YTD Toolbar\IE\6.3\ytdToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.) O3 - HKLM\..\Toolbar: (YTD Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Programme\YTD Toolbar\IE\6.3\ytdToolbarIE.dll (Spigot, Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [DDWMon] C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe () O4 - HKLM..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe () O4 - HKLM..\Run: [HTC Sync Loader] C:\Programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe () O4 - HKLM..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MmReminderService.exe (Mindjet) O4 - HKLM..\Run: [MyWebSearch Plugin] C:\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL (MyWebSearch.com) O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found O4 - HKLM..\Run: [pdfSaver3] File not found O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [snp325] C:\WINDOWS\vsnp325.exe () O4 - HKLM..\Run: [TFncKy] TFncKy.exe File not found O4 - HKLM..\Run: [THotkey] C:\Programme\TOSHIBA\TOSHIBA Applet\THotkey.exe (TOSHIBA) O4 - HKLM..\Run: [topi] C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA) O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe () O4 - HKCU..\Run: [pdfSaver3] C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe (Tracker Software Products Ltd.) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKCU..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (TOSHIBA) O4 - HKCU..\Run: [ynsqfcufasodyvb] C:\WINDOWS\ynsqfcuf.exe () O4 - Startup: C:\Dokumente und Einstellungen\Sarah\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZUxdm556YYAT File not found O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_31.dll (Sun Microsystems, Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O15 - HKCU\..Trusted Domains: kug.ac.at ([online] https in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: uni-graz.at ([online] https in Vertrauenswürdige Sites) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} hxxp://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/MyFunCardsInitialSetup1.0.1.1.cab (Reg Error: Key error.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219844858359 (WUWebControl Class) O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.186.211.21 195.34.133.21 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7C5AB00F-2207-4FDB-A0D9-AB795486B25A}: DhcpNameServer = 212.186.211.21 195.34.133.21 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.04.10 07:43:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{f82ecf26-08f8-11e0-8df1-001644eecd43}\Shell - "" = AutoRun O33 - MountPoints2\{f82ecf26-08f8-11e0-8df1-001644eecd43}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{f82ecf26-08f8-11e0-8df1-001644eecd43}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.10.09 10:19:14 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe [2012.10.09 10:07:25 | 000,000,000 | ---D | C] -- C:\Programme\DownloadManager [2012.10.09 10:07:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DealPly [2012.10.09 10:07:00 | 000,000,000 | ---D | C] -- C:\Programme\DealPly [2012.10.09 10:01:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC [2012.10.09 08:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dqmqntmlavjqrny [2012.09.30 18:35:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sarah\Recent [2012.09.30 18:26:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner [2012.09.30 18:25:59 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2012.09.30 18:24:32 | 003,941,312 | ---- | C] (Piriform Ltd) -- C:\Programme\ccsetup323.exe [2012.09.30 18:03:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Search Settings [2012.09.30 18:03:41 | 000,000,000 | ---D | C] -- C:\Programme\YTD Toolbar [2012.09.30 18:03:41 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Spigot [2012.09.30 18:03:41 | 000,000,000 | ---D | C] -- C:\Programme\Application Updater [2012.05.24 21:17:09 | 004,518,496 | ---- | C] (www.orbitdownloader.com ) -- C:\Programme\orbitdownloader4108.exe [2012.02.02 19:05:10 | 015,037,800 | ---- | C] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.2.51.exe [2011.09.26 10:56:47 | 058,044,312 | ---- | C] (HTC ) -- C:\Programme\HTC Sync_3.0.5422.exe [2011.05.26 12:36:33 | 006,297,003 | ---- | C] (Thorsten Fritz ) -- C:\Programme\nvu-1.0-win32-installer-de-DE.exe [2010.09.07 18:45:34 | 013,700,336 | ---- | C] (DVDVideoSoft Limited. ) -- C:\Programme\FreeYouTubeToMp3Converter.exe [2010.06.14 13:32:56 | 014,338,541 | ---- | C] (GNU) -- C:\Programme\pspp-master-single-user-20100611-Setup.exe [2010.04.25 17:31:42 | 039,074,536 | ---- | C] (Microsoft Corporation) -- C:\Programme\FileFormatConverters.exe [2010.04.19 19:15:00 | 009,273,197 | ---- | C] (BitRock SL) -- C:\Programme\tuxguitar-1.0-rc4-windows-x86-installer.exe [2010.04.09 19:04:15 | 002,114,184 | ---- | C] (Facebook, Inc.) -- C:\Programme\Install_Facebook_Plug-In_1.0.3.exe [2009.10.17 10:53:38 | 002,026,721 | ---- | C] (Aladdin Systems, Inc.) -- C:\Programme\praat5118_winsit.exe [2009.05.12 21:24:11 | 017,010,016 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE8-WindowsXP-x86-DEU.exe [2009.04.28 21:38:07 | 025,001,480 | ---- | C] (Microsoft Corporation) -- C:\Programme\NetFx20SP2_x86.exe [2009.04.26 20:35:17 | 014,782,496 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE7-WindowsXP-x86-deu.exe [2009.03.06 22:11:12 | 007,356,928 | ---- | C] (Mozilla) -- C:\Programme\Firefox_Setup_3.0.7dt.exe [2008.10.26 15:19:12 | 003,984,440 | ---- | C] (GermaniXSoft, Uwe Brueckner ) -- C:\Programme\Radiotracker.exe [8 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.10.09 10:19:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe [2012.10.09 10:18:01 | 000,212,131 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\jdownloader_log2 [2012.10.09 10:16:54 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.10.09 10:14:57 | 000,008,965 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\jdownloader_log [2012.10.09 10:07:49 | 000,001,694 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\JDownloader.lnk [2012.10.09 10:01:38 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.10.09 10:01:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.10.09 09:18:56 | 000,000,012 | ---- | M] () -- C:\WINDOWS\bthservsdp.dat [2012.10.09 08:34:11 | 000,105,984 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\ms.exe [2012.10.09 08:34:03 | 000,074,129 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ieqpcoegcckdkyu [2012.10.09 08:33:58 | 000,106,496 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\0.2058044928707965.exe [2012.10.09 08:33:58 | 000,105,984 | ---- | M] () -- C:\WINDOWS\ynsqfcuf.exe [2012.10.09 08:33:58 | 000,105,984 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynsqfcuf.exe [2012.10.09 08:33:58 | 000,105,984 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\0.5841861425159296.exe [2012.10.08 21:15:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.09.30 18:43:40 | 000,207,624 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\cc_20120930_184321.reg [2012.09.30 18:26:02 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2012.09.30 18:24:32 | 003,941,312 | ---- | M] (Piriform Ltd) -- C:\Programme\ccsetup323.exe [2012.09.30 16:38:38 | 005,541,175 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\LNDM12_Oberoesterreich.pdf [2012.09.29 20:26:19 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI [2012.09.25 09:38:31 | 000,000,805 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\YTD Video Downloader.lnk [2012.09.18 17:21:32 | 000,007,083 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\PrimoPDFSet.xml [2012.09.15 16:48:58 | 001,048,698 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\hechter_grau_vorne.JPG [2012.09.15 16:39:39 | 001,211,220 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\hechter grau_seite.JPG [2012.09.15 16:39:16 | 001,152,540 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\hechter schwarz gruen_vorne.JPG [2012.09.15 16:37:00 | 000,295,769 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Hechter schwarz gruen_seite.jpg [8 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.10.09 10:18:01 | 000,212,131 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\jdownloader_log2 [2012.10.09 10:16:54 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.10.09 10:14:57 | 000,008,965 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\jdownloader_log [2012.10.09 10:07:49 | 000,001,694 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\JDownloader.lnk [2012.10.09 10:07:45 | 000,001,658 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\JDownloader.lnk [2012.10.09 10:07:45 | 000,001,602 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\JDownloader Deinstallationsprogramm.lnk [2012.10.09 10:07:45 | 000,001,581 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\JDownloader Update.lnk [2012.10.09 08:34:11 | 000,105,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\ms.exe [2012.10.09 08:34:02 | 000,105,984 | ---- | C] () -- C:\WINDOWS\ynsqfcuf.exe [2012.10.09 08:34:02 | 000,105,984 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynsqfcuf.exe [2012.10.09 08:33:59 | 000,074,129 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ieqpcoegcckdkyu [2012.10.09 08:33:58 | 000,106,496 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\0.2058044928707965.exe [2012.10.09 08:33:58 | 000,105,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\0.5841861425159296.exe [2012.09.30 18:43:26 | 000,207,624 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\cc_20120930_184321.reg [2012.09.30 18:26:02 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2012.09.30 16:38:37 | 005,541,175 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\LNDM12_Oberoesterreich.pdf [2012.09.15 16:48:58 | 001,048,698 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\hechter_grau_vorne.JPG [2012.09.15 16:39:38 | 001,211,220 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\hechter grau_seite.JPG [2012.09.15 16:39:16 | 001,152,540 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\hechter schwarz gruen_vorne.JPG [2012.09.15 16:37:59 | 000,295,769 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Hechter schwarz gruen_seite.jpg [2012.08.09 18:13:35 | 000,028,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\.recently-used.xbel [2012.05.26 19:24:49 | 000,110,172 | ---- | C] () -- C:\Programme\Ticket_16.-Pfingstspektakel_25_05_2012.pdf [2012.05.24 21:54:29 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\psppirerc [2012.05.24 21:52:55 | 029,934,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\wido-Große_Gefühle_-_Teenager_im_Rausch-120524_grosse_gefuehle1_wido.asx.asf [2012.05.05 19:26:31 | 005,399,104 | ---- | C] () -- C:\Programme\YTDSetup36.exe [2012.04.20 09:40:24 | 004,681,548 | ---- | C] () -- C:\Programme\MyPhoneExplorer_Setup_1.8.2.exe [2012.02.15 09:15:58 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.12.08 12:17:51 | 153,638,184 | ---- | C] ( ) -- C:\Programme\HappyFoto-Designer.exe [2011.08.29 18:25:53 | 000,000,414 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\pspp.jnl [2011.07.06 20:00:26 | 000,000,012 | ---- | C] () -- C:\WINDOWS\bthservsdp.dat [2011.04.22 11:15:14 | 000,003,654 | ---- | C] () -- C:\WINDOWS\System32\drivers\Sonyhcp.dll [2011.04.18 12:52:07 | 004,076,719 | ---- | C] () -- C:\Programme\FileZilla_3.2.7.1_win32-setup.exe [2011.03.16 16:58:06 | 000,000,604 | -H-- | C] () -- C:\Programme\STLL Notifier [2011.03.16 16:53:45 | 000,000,444 | ---- | C] () -- C:\WINDOWS\{17FE44E2-D21A-4F0C-BE49-798A8FBC374E}_WiseFW.ini [2010.12.30 23:35:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ViewNX.INI [2010.12.30 23:33:08 | 000,001,767 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2010.12.30 23:28:45 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Configure Folder Actions [2010.12.30 23:28:45 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Common [2010.12.30 23:28:45 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT [2010.12.30 23:28:45 | 000,000,012 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Database [2010.12.30 23:26:36 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Compressor [2010.12.30 23:26:36 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Command Line Utility [2010.12.30 23:26:36 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT [2010.12.30 23:26:36 | 000,000,012 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Core Data Application [2010.05.07 14:49:02 | 005,091,846 | ---- | C] () -- C:\Programme\Metronom-Setup.exe [2010.03.16 18:14:38 | 000,000,188 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\webct_upload_applet.properties [2009.10.17 10:54:37 | 007,024,640 | ---- | C] () -- C:\Programme\praat.exe [2009.06.28 12:03:46 | 030,228,816 | ---- | C] () -- C:\Programme\avira_antivir_personal_de.exe [2009.04.28 18:30:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\ping [2009.03.03 12:25:50 | 000,007,083 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\PrimoPDFSet.xml [2009.03.03 12:23:20 | 011,121,848 | ---- | C] () -- C:\Programme\FreewarePrimoSetup.exe [2008.10.25 19:47:01 | 014,566,424 | ---- | C] () -- C:\Programme\VLC Player.exe [2008.10.02 14:02:21 | 025,093,328 | ---- | C] () -- C:\Programme\antivir_workstation8.1.0.331_winu_de_h.exe [2008.09.24 15:13:02 | 000,859,080 | ---- | C] () -- C:\Programme\ppr.exe [2008.09.24 14:08:19 | 000,027,937 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR [2008.08.27 20:14:59 | 000,108,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.08.27 14:27:11 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat ========== ZeroAccess Check ========== [2010.12.09 17:15:07 | 000,002,048 | -HS- | M] () -- C:\WINDOWS\Installer\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\@ [2010.12.09 17:15:07 | 000,000,000 | -HSD | M] -- C:\WINDOWS\Installer\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\L [2010.12.09 17:15:07 | 000,000,000 | -HSD | M] -- C:\WINDOWS\Installer\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\U [2010.12.09 17:15:07 | 000,002,048 | -HS- | M] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\@ [2010.12.09 17:15:07 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\L [2010.12.09 17:15:07 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\U [2008.04.10 07:47:52 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "ThreadingModel" = Both "" = C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\n. [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 07:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = \\.\globalroot\systemroot\Installer\{3414bf84-4cda-82ca-6964-ea02e41ec37b}\n. "ThreadingModel" = Both ========== LOP Check ========== [2010.08.23 17:44:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2012.10.09 08:34:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dqmqntmlavjqrny [2010.12.30 23:28:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp [2008.09.12 12:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX [2011.12.08 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HappyFoto-Designer [2009.08.07 14:42:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2011.01.10 15:21:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mindjet [2010.12.30 23:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon [2008.09.22 10:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBT [2011.03.25 08:54:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.12.30 23:28:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15 [2012.10.04 15:46:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YTD Video Downloader [2012.06.18 17:10:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YTD YouTube Downloader & Converter [2008.08.27 22:56:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3} [2008.09.23 19:21:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\3DataManager [2010.09.09 15:24:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Canon [2012.10.09 08:41:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Dropbox [2011.03.28 20:32:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.04.09 19:04:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Facebook [2012.09.30 18:37:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\FileZilla [2008.09.12 12:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\GMX [2012.05.24 21:25:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\GrabPro [2012.08.09 18:13:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\gtk-2.0 [2011.12.08 11:58:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\HappyFoto [2012.03.15 18:10:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\HTC [2011.09.26 11:05:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\HTC.388BC06ACDAB6261375BCE37FBA2E023C0D7EE34.1 [2008.08.28 13:29:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\ICQ [2011.05.19 14:41:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\InterVideo [2010.03.04 22:17:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\LimeWire [2011.03.13 21:01:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\MusE [2012.06.25 18:05:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\MyPhoneExplorer [2010.12.30 23:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Nikon [2011.06.22 17:31:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Nvu [2012.05.24 21:55:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Orbit [2011.10.02 11:21:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Outlook [2010.08.23 16:17:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\PriceGong [2012.05.24 21:19:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\ProgSense [2012.09.30 18:03:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Search Settings [2009.07.17 12:45:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\toshiba [2008.08.27 15:07:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Windows Desktop Search [2008.09.15 12:42:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Windows Search [2012.06.21 09:55:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\wtxpcom [2012.08.08 21:10:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\YTD ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C8B8CEBD < End of report > Extras: OTL Extras logfile created on: 09.10.2012 10:19:29 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Sarah\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,55 Gb Available Physical Memory | 78,03% Memory free 3,84 Gb Paging File | 3,67 Gb Available in Paging File | 95,49% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 82,79 Gb Free Space | 35,55% Space Free | Partition Type: NTFS Computer Name: NOTEBOOK | User Name: Sarah | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = htmlfile] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Disc 2 "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player "{07F58BB0-50D4-4477-B491-A97B2AD059B6}" = TOSHIBA Hotkey Utility "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MX310_series" = Canon MX310 series "{11B83AD3-7A46-4C2E-A568-9505981D4C6F}" = HP Update "{12B3A009-A080-4619-9A2A-C6DB151D8D67}" = TOSHIBA Assist "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{17FE44E2-D21A-4F0C-BE49-798A8FBC374E}" = Sibelius 6 "{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer "{18669FF9-C8FE-407a-9F70-E674896B1DB4}" = GPBaseService "{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser "{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}" = YTD Video Downloader 3.9.2 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2290A680-4083-410A-ADCC-7092C67FC052}" = Toshiba Online Product Information "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer "{237CD223-1B9D-47E8-A76C-E478B83CCEA2}" = File Uploader "{24E2F70D-B287-407D-9B5C-9D8B4C388D1A}" = hppPQVideoCM1312 "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31 "{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC Diagnostic Tool "{31A559C1-9E4D-423B-9DD3-34A6C5398752}" = HTC BMP USB Driver "{325D1D94-4F34-46A7-A489-737C801B931D}" = hppusgCM1312 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{36FDBE6E-6684-462b-AE98-9A39A1B200CC}" = HPProductAssistant "{38E5DF74-C1D8-46E9-A887-9494FA3D67EB}" = YTD Toolbar v6.3 "{3F92ABBB-6BBF-11D5-B229-002078017FBF}" = NetWaiting "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{400830CA-F056-4BBE-80A3-9DF9CA4FB889}" = TOSHIBA Direct Disc Writer "{47FA2C44-D148-4DBC-AF60-B91934AA4842}" = Adobe AIR "{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4ecaf021-478c-40c1-b777-3368a15f9966}" = Macromedia Flash Player "{52A69E11-7CEB-4a7d-9607-68BA4F39A89B}" = DeviceDiscovery "{56995235-B76E-44A6-BA17-8FF13D3F907A}" = TOSHIBA Benutzerhandbücher "{583EDB12-4CEA-48B5-A7BA-88069DD47BA2}" = hppQFolderCM1312 "{5ACE69F0-A3E8-44eb-88C1-0A841E700180}" = TrayApp "{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}" = Sony USB Driver "{5DA0E02F-970B-424B-BF41-513A5018E4C0}" = TOSHIBA Disc Creator "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{61B84435-7A82-4F5C-87EC-1071EC28D72D}" = TOSHIBA Utilities "{64212898-097F-4F3F-AECA-6D34A7EF82DF}" = TOSHIBA Zoom-Dienstprogramm "{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites "{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder "{679EC478-3FF9-4987-B2FF-C2C2B27532A2}" = DocProc "{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm "{6D6664A9-3342-4948-9B7E-034EFE366F0F}" = HTC Driver Installer "{6DD822CC-4CDD-4949-9000-CE62C3B22B26}" = hppSendFaxCM1312 "{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder "{6FAF7261-8F5F-411B-9FD1-93CBCF701DAD}" = hpzTLBXFX "{70294646-CF46-4223-A2F4-EDC6A8420B2A}" = hppFaxUtilityCM1312 "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{80533B67-C407-485D-8B5D-63BB8ED9D878}" = Scan "{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 "{87441A59-5E64-4096-A170-14EFE67200C3}" = Picture Control Utility "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{895722FE-25FE-4854-95AC-B0C42F9DBEDA}" = REALTEK RTL8187B Wireless LAN Driver "{8EEDB90E-6ABC-42bb-AD4C-39DEE05E3EEA}" = HP Color LaserJet CM1312 MFP Series 3.0 "{8F7AC250-4D7D-431D-AC4E-94FB78EA3F8B}" = TOSHIBA Power Saver "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager "{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD for TOSHIBA "{92770B29-6D6A-47D7-8BA1-CDB520CAFDA8}" = Mindjet MindManager Pro 6 "{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU) "{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195 "{9930D47E-BF88-4EED-9531-CC9EDAE1E448}" = hppscanCM1312 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{9DE3F260-B88E-42CE-90E7-73C78C37D95E}" = 32 Bit HP BiDi Channel Components Installer "{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}" = CD/DVD Drive Acoustic Silencer "{A1EA13D0-40C6-4DFC-98D6-6A8AB501DA63}" = hppCLJCM1312 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A5AB9D5E-52E2-440e-A3ED-9512E253C81A}" = SolutionCenter "{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}" = TOSHIBA Controls "{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder "{AB77DFDE-9949-4AEF-B180-BE322C3E65D0}" = HTC Sync "{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0 "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call "{B8DBED1E-8BC3-4d08-B94A-F9D7D88E9BBF}" = HPSSupply "{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation "{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree "{C02A6D5F-0FE1-46DE-B483-2BD33A226BCF}" = TOSHIBA TouchPad ON/Off Utility "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C793675F-0692-4969-A9D4-C191EFBF5518}" = hppScanToCM1312 "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D142FE39-3386-4d82-9AD3-36D4A92AC3C2}" = DocMgr "{D2E0F0CC-6BE0-490b-B08B-9267083E34C9}" = MarketResearch "{D2FCC1AE-6311-47C5-8130-C6C66D77DD71}" = Nikon Message Center "{D8AC1EB5-E8B0-44A0-B113-899407188A2F}" = hppFonts "{D99A8E3A-AE5A-4692-8B19-6F16D454E240}" = Destination Component "{D9AE5B83-86A9-4D59-9F62-104A884BDAAC}" = hppFaxDrvCM1312 "{DC24971E-1946-445D-8A82-CE685433FA7D}" = Realtek USB 2.0 Card Reader "{E0D51394-1D45-460A-B62D-383BC4F8B335}" = QuickTime "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{E9757890-7EC5-46C8-99AB-B00F07B6525C}" = Nikon Transfer "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "{EF30AD3D-50DE-4C6B-9435-56C22A99F9FA}" = hppTLBXFXCM1312 "{F007CBCE-D714-4C0B-8CE9-9B0D78116468}" = ViewNX "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F18046C5-1C4E-4BE1-A3D6-A6F970E2E8E8}" = ArcSoft Panorama Maker 5 "{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack "{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5 "{F412B21E-9FEF-4FFC-ABFC-9DC9C5A69A1B}" = hppManualsCM1312 "{F9466082-90E9-4BE4-92F0-CF0AF195B0CF}" = 325 USB PC Camera "3DataManager" = Mein 3DataManager "5513-1208-7298-9440" = JDownloader 0.9 "Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Avira AntiVir Desktop" = Avira Free Antivirus "Canon MX310 series Benutzerregistrierung" = Canon MX310 series Benutzerregistrierung "CanonMyPrinter" = Canon My Printer "CanonSolutionMenu" = Canon Utilities Solution Menu "CCleaner" = CCleaner "CNXT_MODEM_HDA_HSF" = HDAUDIO Soft Data Fax Modem with SmartCP "DealPly" = DealPly "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "DivX Setup" = DivX-Setup "Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX "FileZilla Client" = FileZilla Client 3.2.7.1 "HappyFoto-Designer_is1" = HappyFoto-Designer 4.4 "HDMI" = Intel(R) Graphics Media Accelerator Driver "HP Document Manager" = HP Document Manager 1.0 "HP Imaging Device Functions" = HP Imaging Device Functions 10.0 "HP Solution Center & Imaging Support Tools" = HP Solution Center 10.0 "HPExtendedCapabilities" = HP Customer Participation Program 10.0 "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "InstallShield_{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC-Diagnose-Tool "InstallShield_{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}" = TOSHIBA Controls "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "MP Navigator EX 1.0" = Canon MP Navigator EX 1.0 "MPE" = MyPhoneExplorer "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "MyWebSearch bar Uninstall" = My Web Search (My Fun Cards) "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Nvu_is1" = Nvu 1.0 "PDF-XChange 3_is1" = PDF-XChange 3.0 "Primetime Podcast Receiver" = Podcast Receiver "PrimoPDF4.1.0.9" = PrimoPDF "Shop for HP Supplies" = Shop for HP Supplies "SynTPDeinstKey" = Synaptics Pointing Device Driver "TuxGuitar 1.0-rc4" = TuxGuitar "VLC media player" = VLC media player 0.9.4 "Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7 "WIC" = Windows Imaging Component "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinGimp-2.0_is1" = GIMP 2.4.7 "WinRAR archiver" = WinRAR 4.00 (32-Bit) "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XMedia Recode" = XMedia Recode 2.0.7.0 "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Dropbox" = Dropbox ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 08.10.2012 11:14:14 | Computer Name = NOTEBOOK | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 09.10.2012 02:17:25 | Computer Name = NOTEBOOK | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 09.10.2012 02:29:41 | Computer Name = NOTEBOOK | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 09.10.2012 02:29:41 | Computer Name = NOTEBOOK | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 09.10.2012 02:29:41 | Computer Name = NOTEBOOK | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 09.10.2012 02:29:41 | Computer Name = NOTEBOOK | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 09.10.2012 02:39:34 | Computer Name = NOTEBOOK | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 09.10.2012 03:16:21 | Computer Name = NOTEBOOK | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 09.10.2012 03:21:54 | Computer Name = NOTEBOOK | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 09.10.2012 04:01:38 | Computer Name = NOTEBOOK | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. [ System Events ] Error - 09.10.2012 04:00:07 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 09.10.2012 04:01:55 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 09.10.2012 04:03:30 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:04:05 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:14:29 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:14:40 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:16:54 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:17:51 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:17:51 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.10.2012 04:18:15 | Computer Name = NOTEBOOK | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} < End of report > Gmer: GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-10-09 17:52:49 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 TOSHIBA_ rev.LV01 Running: gmer.exe; Driver: C:\DOKUME~1\Sarah\LOKALE~1\Temp\kxroqpow.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c4f5e2 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272c4f5e2 (not active ControlSet) ---- EOF - GMER 1.0.15 ---- |
:hallo: Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld :) |
:hallo: Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Warnung: Registry-Cleaner
Schritt 1: Deinstallation von Programmen Schritt 2: Scan mit Combofix
|
Hallo Ryder, danke für die äußerst schnelle Antwort! Habe die beiden Programme deinstalliert und anschließend Combofix heruntergeladen. Im Zuge dessen habe ich auch die Wiederherstellungskonsole installiert. Dann ist das Programm weitergelaufen. Als ich das nächste Mal zum PC geschaut habe, startete er sich gerade neu (ohne das ich etwas geklickt habe), allerdings nicht im abgesicherten Modus sondern im normalen. Daher kam auch kurz mein Desktop sowie eine Fehlermeldung, die ich leider nicht genauer notieren konnte, da sie gleich wieder weg war. Es stand irgendetwas von "Fehler beim Laden" und das eine Datei oder so nicht gefunden wurde. Danach war wieder die Trojaner-Meldung sichtbar und nichts ging mehr, genauso wie heute früh. Habe daher den PC ausgeschaltet und wieder im abgesicherten Modus hochgefahren. Wie soll ich nun fortfahren? Lg Sarah |
Morgen! Starte bitte im abgesicherten Modus und sieh nach ob Combofix ein Logfile erstellt hat und poste es (c:\combofix.txt). |
Hallo. Am Desktop ist kein File. Soll ich Combofix einfach nochmal ausführen? Und ich hätte noch eine andere Frage: Wenn ich jetzt meine Daten auf einem USB Stick oder der externen Festplatte sichere, kann dann der Trojaner darauf kopiert werden? lg Hab jetzt Combofix nochmal ausgeführt und dieses Mal hat es funktioniert. Nachfolgend die Log-Datei: Combofix Logfile: Code: ComboFix 12-10-09.01 - Sarah 10.10.2012 12:08:00.2.2 - x86 NETWORK |
Gut!! :daumenhoc Combofix-Skript
Fragen:
|
Ja, der Upload hat problemlos geklappt und ich bin jetzt wieder im normalen Modus. Scheint alles zu funktionieren. :) Ist mein Laptop damit wieder clean oder ist noch etwas versteckt? Kann ich die Programme und txt-Files alle löschen oder brauche ich die noch? Und für die Zukunft: Reicht Avira als Schutz oder gibt's noch irgendwelche Programmempfehlungen? |
Gut, dann brauche ich noch das neue Combofix-Log. Führe bitte noch folgende Schritte aus, wir sind noch nicht komplett fertig. Schritt 1: Deinstallation von Programmen
Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Schritt 3: Quick-Scan mit Malwarebytes
Schritt 4: ESET Online Scanner Zitat:
Schritt 5: Java Update
Schritt 6: Kontrollscan mit OTL
|
Aja, entschuldigung. Hier mal das Combofix-Textfile: Combofix Logfile: Code: ComboFix 12-10-10.02 - Sarah 10.10.2012 16:11:33.3.2 - x86 NETWORKHochladen war erfolgreich So jetzt der Rest: Schritt 1: MyWebSearch scheint nicht in der Software auf, daher konnte ich auch nichts löschen. Die anderen Beiden wurden erfolgreich deinstalliert. Schritt 2: Adw: # AdwCleaner v2.004 - Datei am 10/10/2012 um 16:57:44 erstellt # Aktualisiert am 06/10/2012 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : Sarah - NOTEBOOK # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\Sarah\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DealPly Ordner Gelöscht : C:\Programme\Conduit Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\spigot ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp Schlüssel Gelöscht : HKCU\Software\Conduit Schlüssel Gelöscht : HKCU\Software\DealPly Schlüssel Gelöscht : HKCU\Software\Fun Web Products Schlüssel Gelöscht : HKCU\Software\Google\Chrome\Extensions\gaiilaahiahdejapggenmdmafpmbipje Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1093995A-BA37-41D2-836E-091067C4AD17} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{120927BF-1700-43BC-810F-FAB92549B390} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1F52A5FA-A705-4415-B975-88503B291728} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3E720451-B472-4954-B7AA-33069EB53906} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3E720453-B472-4954-B7AA-33069EB53906} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{991AAC62-B100-47CE-8B75-253965244F69} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2269050 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{E47CAEE0-DEEA-464A-9326-3F2801535A4D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{F42228FB-E84E-479E-B922-FBBD096E792C} Schlüssel Gelöscht : HKLM\Software\Conduit Schlüssel Gelöscht : HKLM\Software\DealPly Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\gaiilaahiahdejapggenmdmafpmbipje Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DealPly Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\mywebsearch bar uninstall Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows Media\Wmsdk\Sources [F3PopularScreenSavers] ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Die Registrierungsdatenbank ist sauber. ************************* AdwCleaner[S1].txt - [5626 octets] - [10/10/2012 16:57:44] ########## EOF - C:\AdwCleaner[S1].txt - [5686 octets] ########## Schritt 3: Malwarebytes: Malwarebytes Anti-Malware 1.65.0.1400 Malwarebytes : Free anti-malware download Datenbank Version: v2012.10.10.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Sarah :: NOTEBOOK [Administrator] 10.10.2012 17:09:18 mbam-log-2012-10-10 (17-09-18).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 233629 Laufzeit: 9 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Schritt 4: ESET: C:\Qoobox\Quarantine\[4]-Submit_2012-10-10_16.11.29.zip Win32/Weelsof.B trojan C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynsqfcuf.exe.vir Win32/Weelsof.B trojan C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\dqmqntmlavjqrny\main.html.vir HTML/Ransom.B trojan C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Sarah\0.2058044928707965.exe.vir a variant of Win32/Kryptik.AMVN trojan C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Sarah\0.5841861425159296.exe.vir Win32/Weelsof.B trojan C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Sarah\ms.exe.vir Win32/Weelsof.B trojan C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3CJpeg.dll.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3DTactl.dll.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3HKSTUB.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3HTmlmu.dll.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3REGHK.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3SCrctr.dll.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL.vir Win32/FunWeb application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3IDLE.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3IMPIPE.EXE.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3MSg.dll.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\M3SLSRCH.EXE.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSSrcas.dll.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\NPMYWEBS.DLL.vir Win32/Toolbar.MyWebSearch application C:\Qoobox\Quarantine\C\Programme\YTD Toolbar\IE\6.3\ytdToolbarIE.dll.vir a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP949\A0136935.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP949\A0136936.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP949\A0136939.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP949\A0136960.msi probably a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP952\A0137261.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP952\A0137262.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP952\A0137265.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP952\A0137285.msi probably a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP978\A0140353.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP978\A0140354.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP978\A0140357.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP978\A0140378.msi probably a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142906.exe Win32/Weelsof.B trojan C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142907.exe a variant of Win32/Kryptik.AMVN trojan C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142908.exe Win32/Weelsof.B trojan C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142909.exe Win32/Weelsof.B trojan C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142911.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142912.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142913.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142914.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142915.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142916.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142917.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142918.SCR Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142919.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142920.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142921.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142922.EXE Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142923.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142924.DLL Win32/FunWeb application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142927.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142928.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142929.EXE Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142931.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142933.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142934.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142935.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142936.EXE Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142937.EXE Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142938.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142939.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142940.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142941.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0142942.DLL Win32/Toolbar.MyWebSearch application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP981\A0143451.dll a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP982\A0143569.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP982\A0143570.rbf a variant of Win32/Toolbar.Widgi application C:\System Volume Information\_restore{5ED12BC4-A7C5-464D-857C-C10BBB189D3E}\RP982\A0143584.msi probably a variant of Win32/Toolbar.Widgi application C:\WINDOWS\FixCamera.exe a variant of Win32/KillProc.A application Schritt 5: Java Update konnte erfolgreich durchgeführt werden. Schritt 6: OTL:OTL Logfile: Code: OTL logfile created on: 10.10.2012 22:44:33 - Run 2Hoffe ich hab nichts vergessen. :) |
Hallo! Da sind noch ein paar Überreste. Schritt 1: Fix mit OTL Schritt 2: Kontrollscan mit OTL
|
Schritt 1: Fix mit OTL All processes killed ========== OTL ========== Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\searchplugin folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\META-INF folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\lib folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\DualPackage folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\defaults folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\components folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com\chrome folder moved successfully. C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ihj41j00.default\extensions\engine@conduit.com folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ieqpcoegcckdkyu moved successfully. ========== FILES ========== C:\WINDOWS\FixCamera.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 56466 bytes User: LocalService ->Temp folder emptied: 65748 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: Sarah ->Temp folder emptied: 1006739 bytes ->Temporary Internet Files folder emptied: 39240764 bytes ->Java cache emptied: 7782465 bytes ->FireFox cache emptied: 108237763 bytes ->Flash cache emptied: 59490 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 42316 bytes RecycleBin emptied: 198891876 bytes Total Files Cleaned = 339,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 10112012_160436 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Schritt 2: Kontrollscan OTLOTL Logfile: Code: OTL logfile created on: 11.10.2012 16:10:10 - Run 3Weiß leider nicht wie ich das in Code-Tags poste. Passt es so auch? |
Ja, hast du doch prima gemacht :daumenhoc Da ist noch was hartnäckiges übrig geblieben, das eine neue Variante sein könnte. Ich bitte dich um etwas Geduld. :) Schritt 1: Combofix-Skript Schritt 2: Kontrollscan mit OTL Fragen:
|
Der Upload hat wieder funktioniert. Allerdings bin ich beim OTL nach dem Scan versehentlich nochmal beim Quick-Scan Button angekommen. Habe dann versucht, den Scan abzubrechen, hat aber nicht funktioniert. Als ich nun diese Antwort via Internet Explorer senden wollte, hat er sich beim Kopieren der ComboFix Datei mehrmals aufgehängt. Bin jetzt über Firefox auf der Site. Keine Ahnung ob das jetzt hilfreich ist bzw. hierhin gehört, aber ich dachte, ich berichte es lieber... :) OK, jetzt seh ich erst wie groß die Datei ist, vielleicht hat er sich deshalb so oft aufgehängt!?! :wtf: |
Alles klar, damit wären wir fertig und räumen jetzt auf. Ganz am Ende habe ich noch etwas Lesestoff für dich. Schritt 1: Combofix deinstallieren Schritt 2: Toolbereinigung mit OTL Schritt 3: AdwCleaner entfernen Schritt 4: ESET deinstallieren (Optional) Abschließend noch Tipps zu folgenden Themen:
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board