Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Click.Agent.ktx in eauninstall.exe (https://www.trojaner-board.de/83819-tr-click-agent-ktx-eauninstall-exe.html)

Jay09 17.03.2010 16:52
TR/Click.Agent.ktx in eauninstall.exe
 
Guten Tag, liebes Trojaner Board.
Musste heute leider mal wieder einen unerwünschten Fund machen. Als ich einen MBAM Suchlauf machte ploppte Folgende Meldung von Antivir auf:
In der Datei 'C:\Program Files (x86)\Maxis\SimCity 4\eauninstall.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Click.Agent.ktx' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Habe die daruaf unter dem Namen test.vir wiederhergestellt und bei virustotal hochgeladen hier das ergebnis
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.50        2010.03.17        -
AhnLab-V3        5.0.0.2        2010.03.17        -
AntiVir        8.2.1.194        2010.03.17        TR/Click.Agent.ktx
Antiy-AVL        2.0.3.7        2010.03.17        Trojan/Win32.Agent
Authentium        5.2.0.5        2010.03.17        -
Avast        4.8.1351.0        2010.03.17        -
Avast5        5.0.332.0        2010.03.17        -
AVG        9.0.0.787        2010.03.17        -
BitDefender        7.2        2010.03.17        -
CAT-QuickHeal        10.00        2010.03.17        -
ClamAV        0.96.0.0-git        2010.03.17        -
Comodo        4295        2010.03.17        -
DrWeb        5.0.1.12222        2010.03.17        -
eSafe        7.0.17.0        2010.03.16        -
eTrust-Vet        35.2.7369        2010.03.17        -
F-Prot        4.5.1.85        2010.03.17        -
F-Secure        9.0.15370.0        2010.03.17        -
Fortinet        4.0.14.0        2010.03.15        -
GData        19        2010.03.17        -
Ikarus        T3.1.1.80.0        2010.03.17        -
Jiangmin        13.0.900        2010.03.17        -
K7AntiVirus        7.10.1000        2010.03.17        -
Kaspersky        7.0.0.125        2010.03.17        -
McAfee        5922        2010.03.16        -
McAfee+Artemis        5922        2010.03.16        -
McAfee-GW-Edition        6.8.5        2010.03.17        Trojan.Click.Agent.ktx
Microsoft        1.5605        2010.03.17        -
NOD32        4952        2010.03.17        -
Norman        6.04.08        2010.03.17        -
nProtect        2009.1.8.0        2010.03.17        -
Panda        10.0.2.2        2010.03.17        -
PCTools        7.0.3.5        2010.03.17        -
Prevx        3.0        2010.03.17        -
Rising        22.39.02.04        2010.03.17        -
Sophos        4.51.0        2010.03.17        -
Sunbelt        5934        2010.03.17        -
Symantec        20091.2.0.41        2010.03.17        -
TheHacker        6.5.2.0.236        2010.03.17        Trojan/Clicker.Agent.ktx
TrendMicro        9.120.0.1004        2010.03.17        -
VBA32        3.12.12.2        2010.03.17        -
ViRobot        2010.3.17.2232        2010.03.17        -
VirusBuster        5.0.27.0        2010.03.16        -
weitere Informationen
File size: 274432 bytes
MD5...: 71d0169beaaf366521b8f929cde2b45b
SHA1..: eb397485a323abe97ee2660d996081f27fb56035
SHA256: e32133fa626b0e9b9fad97341863bfb37c7173066dac286f94adbd880ffd7a32
ssdeep: 6144:weBURNcEl30PJyIoIbEkY/ziPBShEmel:5El30PJ1Y/ziPBCEm
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x91af
timedatestamp.....: 0x3dd968e8 (Mon Nov 18 22:25:44 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x220da 0x23000 6.48 ce1d2235eac553d6f50874f1c910ad8c
.rdata 0x24000 0x9292 0xa000 4.90 0b43ebe834f0874d9ae96389b8dcdd73
.data 0x2e000 0x29394 0x2000 3.73 2a8a6f90aabaf2fa438c657b021c2dee
.rsrc 0x58000 0x12cd0 0x13000 3.44 581b615c183ced3f8a66279df02ad780

( 9 imports )
> KERNEL32.dll: HeapReAlloc, SetStdHandle, GetFileType, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, RaiseException, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, VirtualProtect, GetSystemInfo, VirtualQuery, GetLocaleInfoW, CreateThread, ExitThread, GetCommandLineA, GetStartupInfoA, TerminateProcess, HeapFree, HeapAlloc, RtlUnwind, ExitProcess, SetErrorMode, CreateFileA, SetEndOfFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GetOEMCP, GetCPInfo, InterlockedIncrement, GlobalFlags, InterlockedDecrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, WritePrivateProfileStringA, WaitForSingleObject, ResumeThread, CloseHandle, GlobalAlloc, lstrcmpA, GetModuleFileNameA, ConvertDefaultLocale, EnumResourceLanguagesA, GlobalFree, GlobalLock, GlobalUnlock, MulDiv, lstrcpynA, FreeResource, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcatA, lstrcmpW, lstrcpyA, FreeLibrary, CopyFileExA, CreateDirectoryA, CreateProcessA, GetExitCodeProcess, GetSystemDirectoryA, GetWindowsDirectoryA, GetTempPathA, LocalAlloc, GetCurrentProcess, GetCurrentThread, GetLastError, FormatMessageA, LocalFree, SetLastError, GetUserDefaultLangID, CopyFileA, FindResourceA, LockResource, SizeofResource, RemoveDirectoryA, FindFirstFileA, DeleteFileA, FindNextFileA, FindClose, GetCurrentDirectoryA, GetShortPathNameA, GetFileAttributesA, SetFileAttributesA, SetCurrentDirectoryA, FindResourceExA, LoadResource, Sleep, lstrlenA, lstrcmpiA, GetVersion, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, LoadLibraryA, GetProcAddress, SetHandleCount, GetModuleHandleA
> USER32.dll: GetSysColorBrush, GetMenuItemInfoA, InflateRect, GetMessageA, TranslateMessage, GetCursorPos, ValidateRect, ShowOwnedPopups, PostQuitMessage, CreateDialogIndirectParamA, GetNextDlgTabItem, EndDialog, LoadMenuA, DestroyMenu, GetActiveWindow, UnpackDDElParam, ReuseDDElParam, SetCursor, ReleaseCapture, LoadAcceleratorsA, InvalidateRect, InsertMenuItemA, CreatePopupMenu, SetRectEmpty, BringWindowToTop, SetMenu, GetDesktopWindow, TranslateAcceleratorA, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, FillRect, SetMenuItemBitmaps, ModifyMenuA, GetMenuState, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, LoadBitmapA, IsWindowEnabled, ShowWindow, IsDialogMessageA, RegisterWindowMessageA, GetCapture, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassInfoExA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SendDlgItemMessageA, GetFocus, IsWindow, SetFocus, GetWindowTextA, GetForegroundWindow, GetLastActivePopup, SetActiveWindow, DispatchMessageA, BeginDeferWindowPos, EndDeferWindowPos, GetDlgItem, GetTopWindow, DestroyWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, LoadIconA, PeekMessageA, MapWindowPoints, TrackPopupMenu, GetKeyState, SetForegroundWindow, IsWindowVisible, UpdateWindow, GetClientRect, GetMenu, PostMessageA, GetSubMenu, GetMenuItemID, GetMenuItemCount, GetSysColor, AdjustWindowRectEx, GetParent, ScreenToClient, EqualRect, DeferWindowPos, GetClassInfoA, GetDlgCtrlID, CallWindowProcA, GetWindowLongA, SetWindowLongA, SetWindowPos, OffsetRect, IntersectRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetSystemMetrics, CopyRect, PtInRect, GetWindow, wsprintfA, RegisterClassA, CreateWindowExA, SetWindowTextA, DefWindowProcA, UnregisterClassA, MessageBoxA, BroadcastSystemMessageA, SendMessageA, SetTimer, EnableWindow, LoadCursorA, WinHelpA
> GDI32.dll: Escape, ExtTextOutA, TextOutA, PtVisible, GetPixel, BitBlt, SelectObject, GetTextExtentPoint32A, CreateFontIndirectA, CreateCompatibleBitmap, CreateSolidBrush, GetDeviceCaps, GetStockObject, CreateCompatibleDC, CreatePatternBrush, DeleteDC, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, RectVisible, DeleteObject, SetMapMode, SetBkMode, RestoreDC, SaveDC, CreateBitmap, GetObjectA, SetBkColor, SetTextColor, GetClipBox, SetViewportOrgEx
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> ADVAPI32.dll: RegEnumKeyExA, OpenProcessToken, FreeSid, RevertToSelf, AccessCheck, IsValidSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, AddAccessAllowedAce, RegQueryValueA, RegOpenKeyA, RegEnumKeyA, RegCreateKeyExA, RegSetValueExA, RegDeleteKeyA, RegQueryValueExA, RegCloseKey, RegOpenKeyExA, ImpersonateSelf, OpenThreadToken, AllocateAndInitializeSid, InitializeSecurityDescriptor, GetLengthSid, InitializeAcl
> SHELL32.dll: DragFinish, DragQueryFileA, ShellExecuteA
> COMCTL32.dll: -, ImageList_Draw, ImageList_GetImageInfo, ImageList_Destroy
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: Electronic Arts, Inc.
copyright....: (c) 2002 Electronic Arts, Inc. All rights reserved.
product......: EA Uninstall
description..: Uninstall
original name: eauninstall7.exe
internal name: eauninstall7.exe
file version.: 1.1.42.1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (59.5%)
Windows Screen Saver (20.6%)
Win32 Executable Generic (13.4%)
Generic Win/DOS Executable (3.1%)
DOS Executable Generic (3.1%)
Hier stutze ich für einen Moment, da man sieht das diese Datei anscheinend von Electronic Arts slebst stammt (es könnte natürlich auch ein Fake sein). Evtl. Fehlalarm?

Habe jetzt beide Dateien (euninstall.exe und test.vir) in der quarantäne, malwarebytes auf neuestem stand brachte keine weiteren funde.

Hoffe ihr könnt mir schnell helfen da ich nicht weiß, ob und was dieses Teil bereits angerichtet hat.

OS: Windows Vista 64-Bit

Jay09 17.03.2010 17:33
Hier noch die log.txt und info.txt von RSIT

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Johannes at 2010-03-17 17:28:39
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 434 GB (73%) free of 597 GB
Total RAM: 4094 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:48, on 17.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\hp\kbd\kbd.exe
C:\Users\Johannes\Downloads\RSIT.exe
C:\Program Files (x86)\trend micro\Johannes.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe" -delete
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "c:\program files (x86)\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files (x86)\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files (x86)\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9bc592f01c088) (gupdate1c9bc592f01c088) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\Windows\system32\LckFldService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8531 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-12-21 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2010-01-11 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"=c:\hp\support\hpsysdrv.exe [2007-04-18 65536]
"KBD"=C:\HP\KBD\KbdStub.EXE [2006-12-08 65536]
"StartCCC"=c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-01-21 61440]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"QuickTime Task"=C:\Program Files (x86)\QuickTime\QTTask.exe [2009-05-26 413696]
"SunJavaUpdateReg"=C:\Windows\system32\jureg.exe [2007-04-07 54936]
"SunJavaUpdateSched"=C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [2010-01-11 246504]
"PCSuiteTrayApplication"=C:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe [2007-03-23 227328]
"Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-12-22 35760]
"Adobe ARM"=C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-12-11 948672]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 138240]
"msnmsgr"=C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"ICQ"=C:\Program Files (x86)\ICQ6.5\ICQ.exe [2009-03-01 172792]
"Steam"=c:\program files (x86)\steam\steam.exe [2010-02-20 1217872]
"WMPNSCFG"=C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe []

C:\Users\Johannes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OpenOffice.org 3.1.lnk - C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"BindDirectlyToPropertySetStorage"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e89119a6-a972-11dd-aa76-806e6f6e6963}]
shell\AutoRun\command - E:\SETUP.EXE


======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-03-10 22:24:27 ----A---- C:\Windows\system32\nshhttp.dll
2010-03-10 22:24:26 ----A---- C:\Windows\system32\httpapi.dll
2010-02-27 13:58:13 ----D---- C:\Users\Johannes\AppData\Roaming\Clickteam
2010-02-24 14:31:48 ----A---- C:\Windows\system32\jscript.dll
2010-02-24 14:31:40 ----A---- C:\Windows\system32\tzres.dll
2010-02-24 14:31:29 ----A---- C:\Windows\system32\secproc_isv.dll
2010-02-24 14:31:29 ----A---- C:\Windows\system32\secproc.dll
2010-02-24 14:31:28 ----A---- C:\Windows\system32\RMActivate_isv.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\secproc_ssp_isv.dll
2010-02-24 14:31:27 ----A---- C:\Windows\system32\secproc_ssp.dll
2010-02-24 14:31:27 ----A---- C:\Windows\system32\RMActivate_ssp_isv.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\RMActivate_ssp.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\RMActivate.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\msdrm.dll
2010-02-24 14:31:26 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2010-02-24 14:31:26 ----A---- C:\Windows\system32\gameux.dll
2010-02-24 14:31:26 ----A---- C:\Windows\system32\Apphlpdm.dll
2010-02-19 18:24:57 ----D---- C:\rsit
2010-02-19 18:24:57 ----D---- C:\Program Files (x86)\trend micro
2010-02-18 15:38:28 ----D---- C:\Program Files (x86)\Adobe
2010-02-18 15:33:26 ----D---- C:\ProgramData\Sun
2010-02-18 15:33:26 ----D---- C:\Program Files (x86)\Common Files\Java
2010-02-18 15:33:18 ----A---- C:\Windows\system32\javaws.exe
2010-02-18 15:33:18 ----A---- C:\Windows\system32\javaw.exe
2010-02-18 15:33:18 ----A---- C:\Windows\system32\java.exe

======List of files/folders modified in the last 1 months======

2010-03-17 17:28:48 ----D---- C:\Windows\Prefetch
2010-03-17 17:28:43 ----D---- C:\Windows\Temp
2010-03-17 16:22:24 ----SHD---- C:\System Volume Information
2010-03-17 13:52:04 ----D---- C:\Program Files (x86)\Steam
2010-03-17 13:48:10 ----D---- C:\Windows
2010-03-16 16:29:02 ----SHD---- C:\Windows\Installer
2010-03-16 16:28:58 ----D---- C:\Program Files (x86)\Opera
2010-03-16 16:16:09 ----D---- C:\Windows\Debug
2010-03-13 23:17:00 ----D---- C:\Users\Johannes\AppData\Roaming\teamspeak2
2010-03-13 20:56:15 ----D---- C:\Users\Johannes\AppData\Roaming\TS3Client
2010-03-11 07:49:13 ----D---- C:\Windows\winsxs
2010-03-11 07:37:55 ----D---- C:\Windows\SysWOW64
2010-03-11 07:37:55 ----D---- C:\Program Files (x86)\Windows Mail
2010-03-11 07:37:54 ----D---- C:\Windows\System32
2010-03-10 21:53:08 ----D---- C:\Users\Johannes\AppData\Roaming\gtk-2.0
2010-03-10 21:50:40 ----RSD---- C:\Windows\Fonts
2010-03-09 14:27:24 ----D---- C:\ProgramData
2010-03-04 15:54:14 ----D---- C:\Program Files (x86)\Common Files\Steam
2010-03-02 14:26:18 ----A---- C:\Windows\system32\ezsvc7x.dll
2010-02-26 14:44:20 ----D---- C:\Windows\inf
2010-02-25 18:07:07 ----D---- C:\Windows\system32\drivers
2010-02-25 15:56:06 ----D---- C:\Windows\rescache
2010-02-25 15:35:00 ----D---- C:\Windows\system32\de-DE
2010-02-24 23:02:10 ----D---- C:\Windows\AppPatch
2010-02-22 19:17:52 ----D---- C:\Program Files (x86)\Common Files
2010-02-19 18:24:57 ----D---- C:\Program Files (x86)
2010-02-19 14:48:14 ----D---- C:\Users\Johannes\AppData\Roaming\Skype
2010-02-19 14:47:51 ----D---- C:\Users\Johannes\AppData\Roaming\skypePM
2010-02-18 15:38:31 ----D---- C:\ProgramData\Adobe
2010-02-18 15:38:31 ----D---- C:\Program Files (x86)\Common Files\Adobe
2010-02-18 15:33:11 ----D---- C:\Program Files (x86)\Java

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys []
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 NVENETFD;NVIDIA nForce 10/100 Mbps Ethernet ; C:\Windows\system32\DRIVERS\nvmfdx64.sys []
R3 Ps2;PS2; C:\Windows\system32\DRIVERS\PS2.sys []
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
S3 cpuz132;cpuz132; \??\C:\Windows\system32\drivers\cpuz132_x64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 dump_wmimmc;dump_wmimmc; \??\C:\Program Files (x86)\Gameforge4D\CABAL Online\GameGuard\dump_wmimmc.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 nmwcdcjx64;Nokia USB Port; C:\Windows\system32\drivers\nmwcdcjx64.sys []
S3 nmwcdcmx64;Nokia USB Modem; C:\Windows\system32\drivers\nmwcdcmx64.sys []
S3 nmwcdcx64;Nokia USB Generic; C:\Windows\system32\drivers\nmwcdcx64.sys []
S3 nmwcdx64;Nokia USB Phone Parent; C:\Windows\system32\drivers\nmwcdx64.sys []
S3 NPPTNT2;NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [2004-12-30 4682]
S3 usb_rndisx;USB-RNDIS-Adapter; C:\Windows\system32\DRIVERS\usb8023x.sys []
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 nvrd64;NVIDIA nForce RAID Driver; C:\Windows\system32\drivers\nvrd64.sys []
S4 nvsmu;nvsmu; C:\Windows\system32\drivers\nvsmu.sys []
S4 sfdrv01;StarForce Protection Environment Driver (version 1.x); C:\Windows\System32\drivers\sfdrv01.sys []
S4 sfhlp02;StarForce Protection Helper Driver (version 2.x); C:\Windows\System32\drivers\sfhlp02.sys []
S4 sfvfs02;StarForce Protection VFS Driver (version 2.x); C:\Windows\System32\drivers\sfvfs02.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe []
R2 ezSharedSvc;Easybits Shared Services for Windows; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe [2008-06-09 73728]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2009-12-13 75064]
R2 PnkBstrB;PnkBstrB; C:\Windows\system32\PnkBstrB.exe [2009-12-13 189248]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R3 ServiceLayer;ServiceLayer; C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe [2007-03-26 292864]
R3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2010-03-04 332720]
S2 gupdate1c9bc592f01c088;Google Update Service (gupdate1c9bc592f01c088); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-04-13 133104]
S2 LckFldService;LckFldService; C:\Windows\system32\LckFldService.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2009-03-30 89920]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2010-01-04 3670928]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]
S4 HP Health Check Service;HP Health Check Service; c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe [2008-06-02 94208]

-----------------EOF-----------------
Code:
info.txt logfile of random's system information tool 1.06 2010-02-19 18:27:17

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Age of Mythology - The Titans Expansion-->"C:\Program Files (x86)\Microsoft Games\Age of Mythology\UNINSTXP.EXE" /runtemp /addremove
Age of Mythology-->"C:\Program Files (x86)\Microsoft Games\Age of Mythology\UNINSTAL.EXE" /runtemp /addremove
Application Suite-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{D623FED1-9605-41A3-B94F-2FAE6A79475A}\Setup.exe" -l0x7
aTube Catcher 1.0-->"C:\Program Files (x86)\DsNET Corp\aTube Catcher 1.0\unins000.exe"
Audacity 1.2.6-->"C:\Program Files (x86)\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
Battlefield 1861-->C:\Program Files (x86)\EA GAMES\Battlefield 1942\Mods\CivilWarMod\bf1861_uninstall.exe
Battlefield 1942-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\setup.exe" -l0x7
Battlefield Heroes-->"C:\Program Files (x86)\EA Games\Battlefield Heroes\uninstaller.exe" "C:\Program Files (x86)\EA Games\Battlefield Heroes\Uninstall.xml"
CABAL Online-->"C:\Program Files (x86)\Gameforge4D\CABAL Online\unins000.exe"
Catalyst Control Center - Branding-->MsiExec.exe /I{2E4609A3-F5AF-4408-B0C4-B8B84BC753DF}
CCleaner (remove only)-->"C:\Program Files (x86)\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
CyberLink DVD Suite Deluxe-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe"  -uninstall
Die Sims 2: Family Fun - Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Family Fun - Accessoires\EAUninstall.exe
Die Sims 2: Nightlife-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Nightlife\EAUninstall.exe
Die Sims 2: Open For Business-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Open For Business\EAUninstall.exe
Die Sims 2: Wilde Campus-Jahre-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Wilde Campus-Jahre\EAUninstall.exe
Die Sims 2-->C:\Program Files (x86)\EA GAMES\Die Sims 2\EAUninstall.exe
Die Sims™ 2 Apartment-Leben-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Apartment-Leben\EAUninstall.exe
Die Sims™ 2 Freizeit-Spaß-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Freizeit-Spaß\EAUninstall.exe
Die Sims™ 2 Gute Reise-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Gute Reise\EAUninstall.exe
Die Sims™ 2 H&M®-Fashion-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 H&M®-Fashion-Accessoires\EAUninstall.exe
Die Sims™ 2 Haustiere-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Haustiere\EAUninstall.exe
Die Sims™ 2 IKEA® Home-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 IKEA® Home-Accessoires\EAUninstall.exe
Die Sims™ 2 Küchen- und Bad-Einrichtungs-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Küchen- und Bad-Einrichtungs-Accessoires\EAUninstall.exe
Die Sims™ 2 Party-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Party-Accessoires\EAUninstall.exe
Die Sims™ 2 Teen Style-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Teen Style-Accessoires\EAUninstall.exe
Die Sims™ 2 Vier Jahreszeiten-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Vier Jahreszeiten\EAUninstall.exe
Die Sims™ 2: Glamour-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Glamour-Accessoires\EAUninstall.exe
Fable - The Lost Chapters-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{C3C9EB3D-24FA-4462-B784-0EC6AAFCD2DD}
FastImageResizer (remove only)-->"C:\Program Files (x86)\Fast Image Resizer\uninstall.exe"
FlatOut2-->MsiExec.exe /I{7E641E46-81DB-4D1D-906A-48342523051C}
Galactic Conquest Release 5.3-->C:\Program Files (x86)\EA GAMES\Battlefield 1942\MODS\GCMOD\Uninst.exe
GIMP 2.6.7-->"C:\Program Files (x86)\GIMP-2.0\setup\unins000.exe"
Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Gothic III-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{02B244A2-7F6A-42E8-A36F-8C385D7A1625}\setup.exe" -l0x7  -removeonly
Hardware Diagnose Tools-->C:\Program Files (x86)\PC-Doctor for Windows\uninst.exe
Herrscher des Olymp - Zeus-->C:\Windows\IsUn0407.exe -f"C:\Sierra\Herrscher des Olymp - Zeus\Uninst.isu"
Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
Hewlett-Packard Asset Agent for Health Check-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
HijackThis 2.0.2-->"C:\Program Files (x86)\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
HP Active Support Library-->C:\Program Files (x86)\InstallShield Installation Information\{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}\setup.exe -runfromtemp -l0x0409
HP Customer Feedback-->MsiExec.exe /I{9DBA770F-BF73-4D39-B1DF-6035D95268FC}
HP Demo-->MsiExec.exe /X{97ABD26A-3249-46CB-B2E2-F66E64B2E480}
HP Easy Setup - Frontend-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F405DC00-37F3-4A5F-97F4-C1310CCEE53A}\setup.exe" -l0x9  -removeonly
HP Picasso Media Center Add-In-->MsiExec.exe /I{55979C41-7D6A-49CC-B591-64AC1BBE2C8B}
HP Recovery Manager RSS-->MsiExec.exe /X{A0640EC2-B97E-4FC1-AD14-227C9E386BB4}
ICQ6.5-->"C:\Program Files (x86)\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 18-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
LabelPrint-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe"  -uninstall
Last.fm 1.5.4.24567-->"C:\Program Files (x86)\Last.fm\unins000.exe"
Left 4 Dead 2 Add-on Support-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/564
Left 4 Dead 2-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/550
LightScribe System Software  1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Media Go-->MsiExec.exe /X{FBE5AA96-22F0-4C4A-8E92-4BE3498D4CCB}
Microsoft Age of Empires Expansion-->"C:\Program Files (x86)\Microsoft Games\Age of Empires\UNINSTX.EXE" /runtemp
Microsoft Age of Empires-->C:\Program Files (x86)\Microsoft Games\Age of Empires\Uninstal.exe /uninstall
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.6)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
muvee autoProducer 6.1-->C:\Program Files (x86)\InstallShield Installation Information\{B9AB88D8-3A09-4A4A-8993-0E2F6F9F294B}\muveesetup.exe -removeonly -runfromtemp
No One Lives Forever 2 -->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\Fox\No One Lives Forever 2\SETUP.EXE" -l0x7
Nokia Connectivity Cable Driver-->MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
Nokia PC Suite-->C:\ProgramData\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Nokia_PC_Suite_683_rel_14_1_EA.exe /LANG="1031"
Nokia PC Suite-->MsiExec.exe /I{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}
OpenOffice.org 3.1-->MsiExec.exe /I{D765F1CE-5AE5-4C47-B134-AE58AC474740}
Optimierte Multimedia-Tastatur-Lösung-->C:\HP\KBD\Install.exe /u
PC Connectivity Solution-->MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
PlayStation(R)Network Downloader-->MsiExec.exe /X{B6659DD8-00A7-4A24-BBFB-C1F6982E5D66}
PlayStation(R)Store-->MsiExec.exe /X{0E532C84-4275-41B3-9D81-D4A1A20D8EE7}
Power2Go-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe"  -uninstall
PowerDirector-->"C:\Program Files (x86)\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
PowerDirector-->"C:\Program Files (x86)\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
PunkBuster Services-->C:\Windows\system32\pbsvc_heroes.exe -u
Python 2.5.2-->MsiExec.exe /I{6B976ADF-8AE8-434E-B282-A06C7F624D2F}
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Rappelz-->"C:\Program Files\gPotato.eu\Rappelz\unins000.exe"
Real Alternative 1.9.0-->"C:\Program Files (x86)\Real Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RtlUpd64.exe -r -m -nrg2709
ScummVM 1.0.0rc1-->"C:\Program Files (x86)\ScummVM\unins000.exe"
SimCity 4-->C:\Program Files (x86)\Maxis\SimCity 4\EAUninstall.exe
Skype Toolbars-->MsiExec.exe /I{981029E0-7FC9-4CF3-AB39-6F133621921A}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
SUPER © Version 2010.bld.37 (Jan 2, 2010)-->C:\PROGRA~2\ERIGHT~1\SUPER\Setup.exe /remove /q0
TeamSpeak 2 RC2-->"C:\Program Files (x86)\Teamspeak2_RC2\unins000.exe"
TeamSpeak 3 Client-->"C:\Program Files (x86)\TeamSpeak 3 Client\uninstall.exe"
TmNationsForever-->"C:\Program Files (x86)\TmNationsForever\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Visual C++ 9.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{0138F525-6C8A-333F-A105-14AE030B9A54}
VLC media player 0.9.9-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Program Files (x86)\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1        www.007guard.com
127.0.0.1        007guard.com
127.0.0.1        008i.com
127.0.0.1        www.008k.com
127.0.0.1        008k.com
127.0.0.1        www.00hq.com
127.0.0.1        00hq.com
127.0.0.1        010402.com
127.0.0.1        www.032439.com
127.0.0.1        032439.com

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: Johannes-PC
Event Code: 537
Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.
Record Number: 67144
Source Name: Microsoft-Windows-TBS
Time Written: 20090821183532.610528-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet".
Record Number: 67143
Source Name: Service Control Manager
Time Written: 20090821183533.000000-000
Event Type: Informationen
User:

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt".
Record Number: 67142
Source Name: Service Control Manager
Time Written: 20090821183532.000000-000
Event Type: Informationen
User:

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet".
Record Number: 67141
Source Name: Service Control Manager
Time Written: 20090821183532.000000-000
Event Type: Informationen
User:

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "KtmRm für Distributed Transaction Coordinator" befindet sich jetzt im Status "Ausgeführt".
Record Number: 67140
Source Name: Service Control Manager
Time Written: 20090821183532.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: WIN-3MH7ULGZ56N
Event Code: 9010
Message: Ein Prozess (Windows-Systembewertungstool) hat eine Anforderung zum Deaktivieren des Desktopfenster-Managers gestellt.
Record Number: 609
Source Name: Desktop Window Manager
Time Written: 20081103065243.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 1013
Message: Der Windows-Suchdienst wurde normal beendet.

Record Number: 608
Source Name: Microsoft-Windows-Search
Time Written: 20081103065203.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 1003
Message: Der Windows-Suchdienst wurde gestartet.

Record Number: 607
Source Name: Microsoft-Windows-Search
Time Written: 20081103065203.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 1005
Message: Der SystemIndex-Suchindex wurde vom Windows-Suchdienst erfolgreich erstellt.

Record Number: 606
Source Name: Microsoft-Windows-Search
Time Written: 20081103065202.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 10
Message: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Record Number: 605
Source Name: Microsoft-Windows-WMI
Time Written: 20081103065129.000000-000
Event Type: Fehler
User:

=====Security event log=====

Computer Name: Johannes-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-0-0
        Kontoname:                -
        Kontodomäne:                -
        Anmelde-ID:                0x0

Anmeldetyp:                        3

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-7
        Kontoname:                ANONYMOUS-ANMELDUNG
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x25207
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x0
        Prozessname:                -

Netzwerkinformationen:
        Arbeitsstationsname:       
        Quellnetzwerkadresse:        -
        Quellport:                -

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                NtLmSsp
        Authentifizierungspaket:        NTLM
        Übertragene Dienste:        -
        Paketname (nur NTLM):        NTLM V1
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3704
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104426.377109-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 5033
Message: Der Windows-Firewalltreiber wurde erfolgreich gestartet.
Record Number: 3703
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.891109-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
        Sicherheits-ID:                S-1-5-21-3913768151-962141530-1773352069-1000
        Kontoname:                Johannes
        Kontodomäne:                Johannes-PC
        Anmelde-ID:                0x1b4b8

Berechtigungen:                SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
Record Number: 3702
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.566509-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                JOHANNES-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        2

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-21-3913768151-962141530-1773352069-1000
        Kontoname:                Johannes
        Kontodomäne:                Johannes-PC
        Anmelde-ID:                0x1b516
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x84
        Prozessname:                C:\Windows\System32\winlogon.exe

Netzwerkinformationen:
        Arbeitsstationsname:        JOHANNES-PC
        Quellnetzwerkadresse:        127.0.0.1
        Quellport:                0

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                User32
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3701
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.566509-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                JOHANNES-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        2

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-21-3913768151-962141530-1773352069-1000
        Kontoname:                Johannes
        Kontodomäne:                Johannes-PC
        Anmelde-ID:                0x1b4b8
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x84
        Prozessname:                C:\Windows\System32\winlogon.exe

Netzwerkinformationen:
        Arbeitsstationsname:        JOHANNES-PC
        Quellnetzwerkadresse:        127.0.0.1
        Quellport:                0

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                User32
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3700
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.566509-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files (x86)\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python;c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=AMD64 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\34FB5F65-FFEB-4B61-BF0E-A6A76C450FAA\TraceFormat
"DFSTRACINGON"=FALSE
"OnlineServices"=Online Services
"Platform"=HPD
"PCBRAND"=Pavilion
"MSWorksProductCode"={39D0E034-1042-4905-BECB-5502909FCB7C}
"CLASSPATH"=.;C:\Program Files (x86)\Java\jre1.6.0_01\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\Java\jre1.6.0_01\lib\ext\QTJava.zip

-----------------EOF-----------------

StLB 17.03.2010 17:49
Hallo,

mach bitte noch einen Durchgang mit MBAM:


Malwarebytes' Anti-Malware
  • mbam-setup.exe herunterladen, doppelklicken und "Next" um Malwarebytes zu installieren.
  • Im Register Update bitte die Datenbank-Version aktualisieren.
  • Im Register Scanner "Vollständigen Suchlauf durchführen" auswählen und mit "Scan" ausführen.
  • Wenn der Scan beendet ist (Dauer in der Regel 1-2 Stunden) alles Gefundene anhaken und löschen lassen. ("Ausgewähltes entfernen")
  • Im Register Scan-Berichte den aktuellsten auswählen und öffnen, das Logfile dann hierher kopieren.

Jay09 17.03.2010 19:02
MBAM Scan brachte keine infizierten Objekte hervor, verlief also ergebnislos.

StLB 17.03.2010 19:11
MBAM Datenbank-Version upgedatet auf 387x? (Habe die Nr. jetzt nicht genau im Kopf)

Sieht alles nach einem Fehlalarm von AntiVir aus.
Wenn nur knapp 13% der Virenscanner von Virustotal einen Trojaner vermuten, und auch RSIT und MBAM nichts finden, dann ist es ein Fehlalarm.

Jay09 17.03.2010 19:19
Zitat:
Zitat von StLB (Beitrag 509500)
MBAM Datenbank-Version upgedatet auf 387x? (Habe die Nr. jetzt nicht genau im Kopf)

Sieht alles nach einem Fehlalarm von AntiVir aus.
Wenn nur knapp 13% der Virenscanner von Virustotal einen Trojaner vermuten, und auch RSIT und MBAM nichts finden, dann ist es ein Fehlalarm.
Ja Mbam ist auf Version 3876 heute noch vor dem Scan update ausgeführt.
Wenns ein fehlalarm ist was soll ich dann mit den Dateien machen? Wenn ich sie wiederherstelle meckert Antivir. Aber wenn sie lösche, geht das in Ordnung?
Muss nur aufpassen das ich dann das Spiel hinterher noch löschen kann.
Wenn du mir diese Fragen noch Beantworten kannst bin zufrieden, danke bis jetzt schonmal für die Hilfe.

Jay09 17.03.2010 20:33
Hab jetzt die test.vir datei aus der Quara gelöscht, da diese ja quasi nur eine Kopie zum hochladen war.
Wie soll ich nun mit der anderen Datei vorgehen? War das wirklich alles, oder soll ich noch was machen?

Jay09 18.03.2010 15:32
Sorry für die vielen Posts, aber ich möchte noch diese Fragen beantwortet haben, die ich in den vorherigen Posts gestellt habe. Ansonsten danke für die Hilfe.

EDIT: Grade gemerkt dass ich RSIT nicht als Admin ausgeführt habe daher nochmal log.txt und info.txt bitte nochmal ansehen

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Johannes at 2010-03-18 16:26:17
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 431 GB (72%) free of 597 GB
Total RAM: 4094 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:24, on 18.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\hp\kbd\kbd.exe
C:\Users\Johannes\Downloads\RSIT.exe
C:\Program Files (x86)\trend micro\Johannes.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe" -delete
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "c:\program files (x86)\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files (x86)\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files (x86)\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9bc592f01c088) (gupdate1c9bc592f01c088) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\Windows\system32\LckFldService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8570 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-12-21 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2010-01-11 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"=c:\hp\support\hpsysdrv.exe [2007-04-18 65536]
"KBD"=C:\HP\KBD\KbdStub.EXE [2006-12-08 65536]
"StartCCC"=c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-01-21 61440]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"QuickTime Task"=C:\Program Files (x86)\QuickTime\QTTask.exe [2009-05-26 413696]
"SunJavaUpdateReg"=C:\Windows\system32\jureg.exe [2007-04-07 54936]
"SunJavaUpdateSched"=C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [2010-01-11 246504]
"PCSuiteTrayApplication"=C:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe [2007-03-23 227328]
"Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-12-22 35760]
"Adobe ARM"=C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-12-11 948672]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 138240]
"msnmsgr"=C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"ICQ"=C:\Program Files (x86)\ICQ6.5\ICQ.exe [2009-03-01 172792]
"Steam"=c:\program files (x86)\steam\steam.exe [2010-02-20 1217872]
"WMPNSCFG"=C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe []

C:\Users\Johannes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OpenOffice.org 3.1.lnk - C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"BindDirectlyToPropertySetStorage"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e89119a6-a972-11dd-aa76-806e6f6e6963}]
shell\AutoRun\command - E:\SETUP.EXE


======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-03-10 22:24:27 ----A---- C:\Windows\system32\nshhttp.dll
2010-03-10 22:24:26 ----A---- C:\Windows\system32\httpapi.dll
2010-02-27 13:58:13 ----D---- C:\Users\Johannes\AppData\Roaming\Clickteam
2010-02-24 14:31:48 ----A---- C:\Windows\system32\jscript.dll
2010-02-24 14:31:40 ----A---- C:\Windows\system32\tzres.dll
2010-02-24 14:31:29 ----A---- C:\Windows\system32\secproc_isv.dll
2010-02-24 14:31:29 ----A---- C:\Windows\system32\secproc.dll
2010-02-24 14:31:28 ----A---- C:\Windows\system32\RMActivate_isv.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\secproc_ssp_isv.dll
2010-02-24 14:31:27 ----A---- C:\Windows\system32\secproc_ssp.dll
2010-02-24 14:31:27 ----A---- C:\Windows\system32\RMActivate_ssp_isv.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\RMActivate_ssp.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\RMActivate.exe
2010-02-24 14:31:27 ----A---- C:\Windows\system32\msdrm.dll
2010-02-24 14:31:26 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2010-02-24 14:31:26 ----A---- C:\Windows\system32\gameux.dll
2010-02-24 14:31:26 ----A---- C:\Windows\system32\Apphlpdm.dll
2010-02-19 18:24:57 ----D---- C:\rsit
2010-02-19 18:24:57 ----D---- C:\Program Files (x86)\trend micro

======List of files/folders modified in the last 1 months======

2010-03-18 16:26:20 ----D---- C:\Windows\Temp
2010-03-18 16:17:25 ----D---- C:\Windows\Prefetch
2010-03-18 15:33:51 ----SHD---- C:\System Volume Information
2010-03-18 15:30:29 ----D---- C:\Program Files (x86)\Steam
2010-03-18 08:07:34 ----SHD---- C:\Windows\Installer
2010-03-17 13:48:10 ----D---- C:\Windows
2010-03-16 16:28:58 ----D---- C:\Program Files (x86)\Opera
2010-03-16 16:16:09 ----D---- C:\Windows\Debug
2010-03-13 23:17:00 ----D---- C:\Users\Johannes\AppData\Roaming\teamspeak2
2010-03-13 20:56:15 ----D---- C:\Users\Johannes\AppData\Roaming\TS3Client
2010-03-11 07:49:13 ----D---- C:\Windows\winsxs
2010-03-11 07:37:55 ----D---- C:\Windows\SysWOW64
2010-03-11 07:37:55 ----D---- C:\Program Files (x86)\Windows Mail
2010-03-11 07:37:54 ----D---- C:\Windows\System32
2010-03-10 21:53:08 ----D---- C:\Users\Johannes\AppData\Roaming\gtk-2.0
2010-03-10 21:50:40 ----RSD---- C:\Windows\Fonts
2010-03-09 14:27:24 ----D---- C:\ProgramData
2010-03-04 15:54:14 ----D---- C:\Program Files (x86)\Common Files\Steam
2010-03-02 14:26:18 ----A---- C:\Windows\system32\ezsvc7x.dll
2010-02-26 14:44:20 ----D---- C:\Windows\inf
2010-02-25 18:07:07 ----D---- C:\Windows\system32\drivers
2010-02-25 15:56:06 ----D---- C:\Windows\rescache
2010-02-25 15:35:00 ----D---- C:\Windows\system32\de-DE
2010-02-24 23:02:10 ----D---- C:\Windows\AppPatch
2010-02-22 19:17:52 ----D---- C:\Program Files (x86)\Common Files
2010-02-19 18:24:57 ----D---- C:\Program Files (x86)
2010-02-19 14:48:14 ----D---- C:\Users\Johannes\AppData\Roaming\Skype
2010-02-19 14:47:51 ----D---- C:\Users\Johannes\AppData\Roaming\skypePM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys []
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 NVENETFD;NVIDIA nForce 10/100 Mbps Ethernet ; C:\Windows\system32\DRIVERS\nvmfdx64.sys []
R3 Ps2;PS2; C:\Windows\system32\DRIVERS\PS2.sys []
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
S3 cpuz132;cpuz132; \??\C:\Windows\system32\drivers\cpuz132_x64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 dump_wmimmc;dump_wmimmc; \??\C:\Program Files (x86)\Gameforge4D\CABAL Online\GameGuard\dump_wmimmc.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 nmwcdcjx64;Nokia USB Port; C:\Windows\system32\drivers\nmwcdcjx64.sys []
S3 nmwcdcmx64;Nokia USB Modem; C:\Windows\system32\drivers\nmwcdcmx64.sys []
S3 nmwcdcx64;Nokia USB Generic; C:\Windows\system32\drivers\nmwcdcx64.sys []
S3 nmwcdx64;Nokia USB Phone Parent; C:\Windows\system32\drivers\nmwcdx64.sys []
S3 NPPTNT2;NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [2004-12-30 4682]
S3 usb_rndisx;USB-RNDIS-Adapter; C:\Windows\system32\DRIVERS\usb8023x.sys []
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 nvrd64;NVIDIA nForce RAID Driver; C:\Windows\system32\drivers\nvrd64.sys []
S4 nvsmu;nvsmu; C:\Windows\system32\drivers\nvsmu.sys []
S4 sfdrv01;StarForce Protection Environment Driver (version 1.x); C:\Windows\System32\drivers\sfdrv01.sys []
S4 sfhlp02;StarForce Protection Helper Driver (version 2.x); C:\Windows\System32\drivers\sfhlp02.sys []
S4 sfvfs02;StarForce Protection VFS Driver (version 2.x); C:\Windows\System32\drivers\sfvfs02.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe []
R2 ezSharedSvc;Easybits Shared Services for Windows; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe [2008-06-09 73728]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2009-12-13 75064]
R2 PnkBstrB;PnkBstrB; C:\Windows\system32\PnkBstrB.exe [2009-12-13 189248]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R3 ServiceLayer;ServiceLayer; C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe [2007-03-26 292864]
R3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2010-03-04 332720]
S2 gupdate1c9bc592f01c088;Google Update Service (gupdate1c9bc592f01c088); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-04-13 133104]
S2 LckFldService;LckFldService; C:\Windows\system32\LckFldService.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2009-03-30 89920]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2010-01-04 3670928]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]
S4 HP Health Check Service;HP Health Check Service; c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe [2008-06-02 94208]

-----------------EOF-----------------
Code:
info.txt logfile of random's system information tool 1.06 2010-02-19 18:27:17

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Age of Mythology - The Titans Expansion-->"C:\Program Files (x86)\Microsoft Games\Age of Mythology\UNINSTXP.EXE" /runtemp /addremove
Age of Mythology-->"C:\Program Files (x86)\Microsoft Games\Age of Mythology\UNINSTAL.EXE" /runtemp /addremove
Application Suite-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{D623FED1-9605-41A3-B94F-2FAE6A79475A}\Setup.exe" -l0x7
aTube Catcher 1.0-->"C:\Program Files (x86)\DsNET Corp\aTube Catcher 1.0\unins000.exe"
Audacity 1.2.6-->"C:\Program Files (x86)\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
Battlefield 1861-->C:\Program Files (x86)\EA GAMES\Battlefield 1942\Mods\CivilWarMod\bf1861_uninstall.exe
Battlefield 1942-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\setup.exe" -l0x7
Battlefield Heroes-->"C:\Program Files (x86)\EA Games\Battlefield Heroes\uninstaller.exe" "C:\Program Files (x86)\EA Games\Battlefield Heroes\Uninstall.xml"
CABAL Online-->"C:\Program Files (x86)\Gameforge4D\CABAL Online\unins000.exe"
Catalyst Control Center - Branding-->MsiExec.exe /I{2E4609A3-F5AF-4408-B0C4-B8B84BC753DF}
CCleaner (remove only)-->"C:\Program Files (x86)\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
CyberLink DVD Suite Deluxe-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe"  -uninstall
Die Sims 2: Family Fun - Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Family Fun - Accessoires\EAUninstall.exe
Die Sims 2: Nightlife-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Nightlife\EAUninstall.exe
Die Sims 2: Open For Business-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Open For Business\EAUninstall.exe
Die Sims 2: Wilde Campus-Jahre-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Wilde Campus-Jahre\EAUninstall.exe
Die Sims 2-->C:\Program Files (x86)\EA GAMES\Die Sims 2\EAUninstall.exe
Die Sims™ 2 Apartment-Leben-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Apartment-Leben\EAUninstall.exe
Die Sims™ 2 Freizeit-Spaß-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Freizeit-Spaß\EAUninstall.exe
Die Sims™ 2 Gute Reise-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Gute Reise\EAUninstall.exe
Die Sims™ 2 H&M®-Fashion-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 H&M®-Fashion-Accessoires\EAUninstall.exe
Die Sims™ 2 Haustiere-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Haustiere\EAUninstall.exe
Die Sims™ 2 IKEA® Home-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 IKEA® Home-Accessoires\EAUninstall.exe
Die Sims™ 2 Küchen- und Bad-Einrichtungs-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Küchen- und Bad-Einrichtungs-Accessoires\EAUninstall.exe
Die Sims™ 2 Party-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Party-Accessoires\EAUninstall.exe
Die Sims™ 2 Teen Style-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Teen Style-Accessoires\EAUninstall.exe
Die Sims™ 2 Vier Jahreszeiten-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Vier Jahreszeiten\EAUninstall.exe
Die Sims™ 2: Glamour-Accessoires-->C:\Program Files (x86)\EA GAMES\Die Sims 2 Glamour-Accessoires\EAUninstall.exe
Fable - The Lost Chapters-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{C3C9EB3D-24FA-4462-B784-0EC6AAFCD2DD}
FastImageResizer (remove only)-->"C:\Program Files (x86)\Fast Image Resizer\uninstall.exe"
FlatOut2-->MsiExec.exe /I{7E641E46-81DB-4D1D-906A-48342523051C}
Galactic Conquest Release 5.3-->C:\Program Files (x86)\EA GAMES\Battlefield 1942\MODS\GCMOD\Uninst.exe
GIMP 2.6.7-->"C:\Program Files (x86)\GIMP-2.0\setup\unins000.exe"
Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Gothic III-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{02B244A2-7F6A-42E8-A36F-8C385D7A1625}\setup.exe" -l0x7  -removeonly
Hardware Diagnose Tools-->C:\Program Files (x86)\PC-Doctor for Windows\uninst.exe
Herrscher des Olymp - Zeus-->C:\Windows\IsUn0407.exe -f"C:\Sierra\Herrscher des Olymp - Zeus\Uninst.isu"
Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
Hewlett-Packard Asset Agent for Health Check-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
HijackThis 2.0.2-->"C:\Program Files (x86)\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
HP Active Support Library-->C:\Program Files (x86)\InstallShield Installation Information\{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}\setup.exe -runfromtemp -l0x0409
HP Customer Feedback-->MsiExec.exe /I{9DBA770F-BF73-4D39-B1DF-6035D95268FC}
HP Demo-->MsiExec.exe /X{97ABD26A-3249-46CB-B2E2-F66E64B2E480}
HP Easy Setup - Frontend-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F405DC00-37F3-4A5F-97F4-C1310CCEE53A}\setup.exe" -l0x9  -removeonly
HP Picasso Media Center Add-In-->MsiExec.exe /I{55979C41-7D6A-49CC-B591-64AC1BBE2C8B}
HP Recovery Manager RSS-->MsiExec.exe /X{A0640EC2-B97E-4FC1-AD14-227C9E386BB4}
ICQ6.5-->"C:\Program Files (x86)\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 18-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
LabelPrint-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe"  -uninstall
Last.fm 1.5.4.24567-->"C:\Program Files (x86)\Last.fm\unins000.exe"
Left 4 Dead 2 Add-on Support-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/564
Left 4 Dead 2-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/550
LightScribe System Software  1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Media Go-->MsiExec.exe /X{FBE5AA96-22F0-4C4A-8E92-4BE3498D4CCB}
Microsoft Age of Empires Expansion-->"C:\Program Files (x86)\Microsoft Games\Age of Empires\UNINSTX.EXE" /runtemp
Microsoft Age of Empires-->C:\Program Files (x86)\Microsoft Games\Age of Empires\Uninstal.exe /uninstall
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.6)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
muvee autoProducer 6.1-->C:\Program Files (x86)\InstallShield Installation Information\{B9AB88D8-3A09-4A4A-8993-0E2F6F9F294B}\muveesetup.exe -removeonly -runfromtemp
No One Lives Forever 2 -->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\Fox\No One Lives Forever 2\SETUP.EXE" -l0x7
Nokia Connectivity Cable Driver-->MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
Nokia PC Suite-->C:\ProgramData\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Nokia_PC_Suite_683_rel_14_1_EA.exe /LANG="1031"
Nokia PC Suite-->MsiExec.exe /I{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}
OpenOffice.org 3.1-->MsiExec.exe /I{D765F1CE-5AE5-4C47-B134-AE58AC474740}
Optimierte Multimedia-Tastatur-Lösung-->C:\HP\KBD\Install.exe /u
PC Connectivity Solution-->MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
PlayStation(R)Network Downloader-->MsiExec.exe /X{B6659DD8-00A7-4A24-BBFB-C1F6982E5D66}
PlayStation(R)Store-->MsiExec.exe /X{0E532C84-4275-41B3-9D81-D4A1A20D8EE7}
Power2Go-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe"  -uninstall
PowerDirector-->"C:\Program Files (x86)\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
PowerDirector-->"C:\Program Files (x86)\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
PunkBuster Services-->C:\Windows\system32\pbsvc_heroes.exe -u
Python 2.5.2-->MsiExec.exe /I{6B976ADF-8AE8-434E-B282-A06C7F624D2F}
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Rappelz-->"C:\Program Files\gPotato.eu\Rappelz\unins000.exe"
Real Alternative 1.9.0-->"C:\Program Files (x86)\Real Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RtlUpd64.exe -r -m -nrg2709
ScummVM 1.0.0rc1-->"C:\Program Files (x86)\ScummVM\unins000.exe"
SimCity 4-->C:\Program Files (x86)\Maxis\SimCity 4\EAUninstall.exe
Skype Toolbars-->MsiExec.exe /I{981029E0-7FC9-4CF3-AB39-6F133621921A}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
SUPER © Version 2010.bld.37 (Jan 2, 2010)-->C:\PROGRA~2\ERIGHT~1\SUPER\Setup.exe /remove /q0
TeamSpeak 2 RC2-->"C:\Program Files (x86)\Teamspeak2_RC2\unins000.exe"
TeamSpeak 3 Client-->"C:\Program Files (x86)\TeamSpeak 3 Client\uninstall.exe"
TmNationsForever-->"C:\Program Files (x86)\TmNationsForever\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Visual C++ 9.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{0138F525-6C8A-333F-A105-14AE030B9A54}
VLC media player 0.9.9-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Program Files (x86)\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1        www.007guard.com
127.0.0.1        007guard.com
127.0.0.1        008i.com
127.0.0.1        www.008k.com
127.0.0.1        008k.com
127.0.0.1        www.00hq.com
127.0.0.1        00hq.com
127.0.0.1        010402.com
127.0.0.1        www.032439.com
127.0.0.1        032439.com

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: Johannes-PC
Event Code: 537
Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.
Record Number: 67144
Source Name: Microsoft-Windows-TBS
Time Written: 20090821183532.610528-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet".
Record Number: 67143
Source Name: Service Control Manager
Time Written: 20090821183533.000000-000
Event Type: Informationen
User:

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt".
Record Number: 67142
Source Name: Service Control Manager
Time Written: 20090821183532.000000-000
Event Type: Informationen
User:

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet".
Record Number: 67141
Source Name: Service Control Manager
Time Written: 20090821183532.000000-000
Event Type: Informationen
User:

Computer Name: Johannes-PC
Event Code: 7036
Message: Dienst "KtmRm für Distributed Transaction Coordinator" befindet sich jetzt im Status "Ausgeführt".
Record Number: 67140
Source Name: Service Control Manager
Time Written: 20090821183532.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: WIN-3MH7ULGZ56N
Event Code: 9010
Message: Ein Prozess (Windows-Systembewertungstool) hat eine Anforderung zum Deaktivieren des Desktopfenster-Managers gestellt.
Record Number: 609
Source Name: Desktop Window Manager
Time Written: 20081103065243.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 1013
Message: Der Windows-Suchdienst wurde normal beendet.

Record Number: 608
Source Name: Microsoft-Windows-Search
Time Written: 20081103065203.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 1003
Message: Der Windows-Suchdienst wurde gestartet.

Record Number: 607
Source Name: Microsoft-Windows-Search
Time Written: 20081103065203.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 1005
Message: Der SystemIndex-Suchindex wurde vom Windows-Suchdienst erfolgreich erstellt.

Record Number: 606
Source Name: Microsoft-Windows-Search
Time Written: 20081103065202.000000-000
Event Type: Informationen
User:

Computer Name: WIN-3MH7ULGZ56N
Event Code: 10
Message: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Record Number: 605
Source Name: Microsoft-Windows-WMI
Time Written: 20081103065129.000000-000
Event Type: Fehler
User:

=====Security event log=====

Computer Name: Johannes-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-0-0
        Kontoname:                -
        Kontodomäne:                -
        Anmelde-ID:                0x0

Anmeldetyp:                        3

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-7
        Kontoname:                ANONYMOUS-ANMELDUNG
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x25207
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x0
        Prozessname:                -

Netzwerkinformationen:
        Arbeitsstationsname:       
        Quellnetzwerkadresse:        -
        Quellport:                -

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                NtLmSsp
        Authentifizierungspaket:        NTLM
        Übertragene Dienste:        -
        Paketname (nur NTLM):        NTLM V1
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3704
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104426.377109-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 5033
Message: Der Windows-Firewalltreiber wurde erfolgreich gestartet.
Record Number: 3703
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.891109-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
        Sicherheits-ID:                S-1-5-21-3913768151-962141530-1773352069-1000
        Kontoname:                Johannes
        Kontodomäne:                Johannes-PC
        Anmelde-ID:                0x1b4b8

Berechtigungen:                SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
Record Number: 3702
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.566509-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                JOHANNES-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        2

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-21-3913768151-962141530-1773352069-1000
        Kontoname:                Johannes
        Kontodomäne:                Johannes-PC
        Anmelde-ID:                0x1b516
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x84
        Prozessname:                C:\Windows\System32\winlogon.exe

Netzwerkinformationen:
        Arbeitsstationsname:        JOHANNES-PC
        Quellnetzwerkadresse:        127.0.0.1
        Quellport:                0

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                User32
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3701
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.566509-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Johannes-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                JOHANNES-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        2

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-21-3913768151-962141530-1773352069-1000
        Kontoname:                Johannes
        Kontodomäne:                Johannes-PC
        Anmelde-ID:                0x1b4b8
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x84
        Prozessname:                C:\Windows\System32\winlogon.exe

Netzwerkinformationen:
        Arbeitsstationsname:        JOHANNES-PC
        Quellnetzwerkadresse:        127.0.0.1
        Quellport:                0

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                User32
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3700
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090420104425.566509-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files (x86)\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python;c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=AMD64 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\34FB5F65-FFEB-4B61-BF0E-A6A76C450FAA\TraceFormat
"DFSTRACINGON"=FALSE
"OnlineServices"=Online Services
"Platform"=HPD
"PCBRAND"=Pavilion
"MSWorksProductCode"={39D0E034-1042-4905-BECB-5502909FCB7C}
"CLASSPATH"=.;C:\Program Files (x86)\Java\jre1.6.0_01\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\Java\jre1.6.0_01\lib\ext\QTJava.zip

-----------------EOF-----------------

StLB 18.03.2010 22:07
Hallo,

sorry für die späte Antwort!

Die eauninstall.exe ist auf jeden Fall kein Schädling / Virus.
Ich erinnere mich gelesen zu haben, dass man bei Antivir auch Ausnahmen definieren kann, weiß aber nicht wirklich, wie das zu bewerkstelligen wäre.
Du könntest die eauninstall.exe auch einfach auf einen USB-Stick packen und bei Bedarf zur Deinstallation wieder in das Verzeichnis laden ;)

Moritz009 19.03.2010 08:22
*kurz reinhüpf*

Moin Moin,

lade die fragliche "eauninstall.exe" doch bitte bei avira hoch (Verdacht auf Fehlalarm auswählen), warte auf die Antwort per E-Mail und poste das Ergebnis.
Moritz

*wieder raushüpf*

LoneSR 19.03.2010 09:23
Zitat:
Zitat von Moritz009 (Beitrag 509701)
*kurz reinhüpf*

Moin Moin,

lade die fragliche "eauninstall.exe" doch bitte bei avira hoch (Verdacht auf Fehlalarm auswählen), warte auf die Antwort per E-Mail und poste das Ergebnis.
Moritz

*wieder raushüpf*
*dito hüpf*

geht nicht, da der Guard jeden Zugriff verhindert. Eine URL angeben, wie soll das gehen, da ein Upload irgendwohin auch nicht geht.

Bin seit gestern ebenfalls betroffen - war mitten in SimCity 4 :-(

Im Avira-Forum gibts auch noch nix dazu - aber müsste ja bald was kommen - ich denk es war ein Fehlalarm.

Moritz009 19.03.2010 09:25
Hi,

dann den guard temporär deaktivieren (rechtsklick auf den Schirm, bei "Antivir Guard aktivieren" den Haken wegnehmen und nach dem hochladen den haken wieder setzen.

Moritz

LoneSR 19.03.2010 09:25
Zitat:
Zitat von StLB (Beitrag 509671)
Hallo,

sorry für die späte Antwort!

Die eauninstall.exe ist auf jeden Fall kein Schädling / Virus.
Ich erinnere mich gelesen zu haben, dass man bei Antivir auch Ausnahmen definieren kann, weiß aber nicht wirklich, wie das zu bewerkstelligen wäre.
Du könntest die eauninstall.exe auch einfach auf einen USB-Stick packen und bei Bedarf zur Deinstallation wieder in das Verzeichnis laden ;)
Also bei mir hat der Guard zugeschlagen und da kann man 'Ignorieren' angeben - aber ich will da erst sicher sein... also: let's wait

LoneSR 19.03.2010 09:27
Zitat:
Zitat von Moritz009 (Beitrag 509712)
Hi,

dann den guard temporär deaktivieren (rechtsklick auf den Schirm, bei "Antivir Guard aktivieren" den Haken wegnehmen und nach dem hochladen den haken wieder setzen.

Moritz
LOL, schon klar - daher solls ja auch ein anderer tun , gelle?

Moritz009 19.03.2010 09:28
Hast du den Guard für den Upload deaktiviert? Dann müsste das ohne Probleme klappen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:18 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19