|
TR/Ag.210944 Internet Explorer öffnet sich von selbst hallo, habe ein kleines problem. und zwar: seit dem ich mir das programm 'fraps' [damit kann man bildschirm-aufnahmen während eines spiels machen] heruntergeladen habe (natürlich die vollversion :crazy: ) öffnet sich mehrmals am tag mein internet explorer mit den verschiedensten werbungen :schmoll: AntiVir hat auch schon mehrmals angeschlagen : In der Datei 'C:\Users\****\AppData\Local\Temp\Nxv.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Ag.262656' [trojan] gefunden. Die Datei 'C:\Users\****\AppData\Local\Temp\sshnas21.dll' enthielt einen Virus oder unerwünschtes Programm 'TR/Ag.210944' [trojan]. Durchgeführte Aktion(en): Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> konnte nicht entfernt werden. Die Datei konnte nicht gelöscht werden! Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. Die Datei konnte nicht gelöscht werden! Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> konnte nicht entfernt werden. Die Datei wurde zum Löschen nach einem Neustart markiert. danke im vorraus für die hilfe :dankeschoen: mR. suelle :huepp: |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:30:27, on 15.04.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe D:\Programme\TuneUp2010\TuneUpUtilitiesApp32.exe C:\Users\Timo\AppData\Local\Temp\Nxw.exe C:\Windows\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\avmwlanstick\FRITZWLANMini.exe C:\Program Files\Windows Sidebar\sidebar.exe D:\Programme\ICQ7.0\ICQ.exe D:\Spiele\Steam\Steam.exe C:\Windows\system32\wuauclt.exe D:\Programme\TuneUp2010\OneClick.exe C:\Users\Timo\AppData\Local\Temp\Nxx.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\Snagit\SnagitBHO.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\Snagit\SnagitIEAddin.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent O4 - HKCU\..\Run: [YVIBBBHA8C] C:\Users\Timo\AppData\Local\Temp\Nxx.exe O4 - HKLM\..\Policies\Explorer\Run: [svhost] C:\Windows\sys32\svhost.exe O4 - HKCU\..\Policies\Explorer\Run: [svhost] C:\Windows\sys32\svhost.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: RealTempGT.lnk = D:\Programme\RealTemp_340\RealTempGT.exe O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe O13 - Gopher Prefix: O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe O23 - Service: @D:\Programme\TuneUp2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Programme\TuneUp2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Programme\TuneUp2010\TuneUpUtilitiesService32.exe -- End of file - 5931 bytes |
okay die hilfe kam nicht ... naja hat sich jetzt erledigt ... danke für die viele hilfe ... -.- |
Hi, falls es sich doch nicht erledigt hat: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Hey, okay dann werd ich die programme mal ihre arbeit machen lassen. komischerweiße hat sich gerade als ich das maleware programm geöffnet habe der internetexplorer wieder geöffnet -.- danke schonmal für deine hilfe, poste den log wenn alles fertig ist!:kaffee: mR. suelle |
MAM Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4003 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 18.04.2010 16:04:46 mbam-log-2010-04-18 (16-04-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|K:\|) Durchsuchte Objekte: 373043 Laufzeit: 1 Stunde(n), 4 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Users\Timo\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\Timo\AppData\Local\Temp\Nxy.exe (Trojan.FakeAlert) -> Delete on reboot. C:\Users\Timo\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. OTL OTL logfile created on: 18.04.2010 16:10:57 - Run 2 OTL by OldTimer - Version 3.2.1.2 Folder = C:\Users\Timo\Desktop Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 76,00% Memory free 7,00 Gb Paging File | 6,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 146,48 Gb Total Space | 92,77 Gb Free Space | 63,33% Space Free | Partition Type: NTFS Drive D: | 319,28 Gb Total Space | 12,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: TIMOGAMING Current User Name: Timo Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Users\Timo\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - D:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.) PRC - D:\Programme\TuneUp2010\TuneUpUtilitiesApp32.exe (TuneUp Software) PRC - D:\Programme\TuneUp2010\TuneUpUtilitiesService32.exe (TuneUp Software) PRC - C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation) PRC - C:\Programme\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation) PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation) PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation) PRC - C:\Windows\System32\sppsvc.exe (Microsoft Corporation) PRC - C:\Programme\Internet Explorer\ielowutil.exe (Microsoft Corporation) PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation) PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin) PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin) ========== Modules (SafeList) ========== MOD - C:\Users\Timo\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\System32\sspicli.dll (Microsoft Corporation) MOD - C:\Windows\System32\sechost.dll (Microsoft Corporation) MOD - C:\Windows\System32\samcli.dll (Microsoft Corporation) MOD - C:\Windows\System32\profapi.dll (Microsoft Corporation) MOD - C:\Windows\System32\netutils.dll (Microsoft Corporation) MOD - C:\Windows\System32\KernelBase.dll (Microsoft Corporation) MOD - C:\Windows\System32\dwmapi.dll (Microsoft Corporation) MOD - C:\Windows\System32\devobj.dll (Microsoft Corporation) MOD - C:\Windows\System32\cryptbase.dll (Microsoft Corporation) MOD - C:\Windows\System32\cfgmgr32.dll (Microsoft Corporation) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Steam Client Service) -- C:\Program Files\Common Files\Steam\SteamService.exe (Valve Corporation) SRV - (TuneUp.Defrag) -- D:\Programme\TuneUp2010\TuneUpDefragService.exe (TuneUp Software) SRV - (Apple Mobile Device) -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (TuneUp.UtilitiesSvc) -- D:\Programme\TuneUp2010\TuneUpUtilitiesService32.exe (TuneUp Software) SRV - (UxTuneUp) -- C:\Windows\System32\uxtuneup.dll (TuneUp Software) SRV - (Stereo Service) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation) SRV - (WwanSvc) -- C:\Windows\System32\wwansvc.dll (Microsoft Corporation) SRV - (WbioSrvc) -- C:\Windows\System32\wbiosrvc.dll (Microsoft Corporation) SRV - (Power) -- C:\Windows\System32\umpo.dll (Microsoft Corporation) SRV - (Themes) -- C:\Windows\System32\themeservice.dll (Microsoft Corporation) SRV - (sppuinotify) -- C:\Windows\System32\sppuinotify.dll (Microsoft Corporation) SRV - (RpcEptMapper) -- C:\Windows\System32\RpcEpMap.dll (Microsoft Corporation) SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation) SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation) SRV - (PNRPsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation) SRV - (p2pimsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation) SRV - (HomeGroupProvider) -- C:\Windows\System32\provsvc.dll (Microsoft Corporation) SRV - (PNRPAutoReg) -- C:\Windows\System32\pnrpauto.dll (Microsoft Corporation) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (HomeGroupListener) -- C:\Windows\System32\ListSvc.dll (Microsoft Corporation) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (Dhcp) -- C:\Windows\System32\dhcpcore.dll (Microsoft Corporation) SRV - (defragsvc) -- C:\Windows\System32\defragsvc.dll (Microsoft Corporation) SRV - (BDESVC) -- C:\Windows\System32\bdesvc.dll (Microsoft Corporation) SRV - (AxInstSV) ActiveX-Installer (AxInstSV) -- C:\Windows\System32\AxInstSv.dll (Microsoft Corporation) SRV - (AppIDSvc) -- C:\Windows\System32\appidsvc.dll (Microsoft Corporation) SRV - (sppsvc) -- C:\Windows\System32\sppsvc.exe (Microsoft Corporation) SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin) SRV - (NBService) -- D:\Programme\Nero 7\Nero BackItUp\NBService.exe (Nero AG) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys () DRV - (WinRing0_1_2_0) -- D:\Programme\RealTemp_340\WinRing0.sys (OpenLibSys.org) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.) DRV - (TuneUpUtilitiesDrv) -- D:\Programme\TuneUp2010\TuneUpUtilitiesDriver32.sys (TuneUp Software) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (cmdide) -- C:\Windows\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.) DRV - (adpahci) -- C:\Windows\system32\DRIVERS\adpahci.sys (Adaptec, Inc.) DRV - (adp94xx) -- C:\Windows\system32\DRIVERS\adp94xx.sys (Adaptec, Inc.) DRV - (amdsbs) -- C:\Windows\system32\DRIVERS\amdsbs.sys (AMD Technologies Inc.) DRV - (adpu320) -- C:\Windows\system32\DRIVERS\adpu320.sys (Adaptec, Inc.) DRV - (arcsas) -- C:\Windows\system32\DRIVERS\arcsas.sys (Adaptec, Inc.) DRV - (amdsata) -- C:\Windows\system32\DRIVERS\amdsata.sys (Advanced Micro Devices) DRV - (arc) -- C:\Windows\system32\DRIVERS\arc.sys (Adaptec, Inc.) DRV - (amdxata) -- C:\Windows\system32\DRIVERS\amdxata.sys (Advanced Micro Devices) DRV - (aliide) -- C:\Windows\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.) DRV - (nvstor) -- C:\Windows\system32\DRIVERS\nvstor.sys (NVIDIA Corporation) DRV - (nvraid) -- C:\Windows\system32\DRIVERS\nvraid.sys (NVIDIA Corporation) DRV - (nfrd960) -- C:\Windows\system32\DRIVERS\nfrd960.sys (IBM Corporation) DRV - (LSI_SAS) -- C:\Windows\system32\DRIVERS\lsi_sas.sys (LSI Corporation) DRV - (iaStorV) -- C:\Windows\system32\DRIVERS\iaStorV.sys (Intel Corporation) DRV - (MegaSR) -- C:\Windows\system32\DRIVERS\MegaSR.sys (LSI Corporation, Inc.) DRV - (KSecPkg) -- C:\Windows\System32\Drivers\ksecpkg.sys (Microsoft Corporation) DRV - (LSI_SCSI) -- C:\Windows\system32\DRIVERS\lsi_scsi.sys (LSI Corporation) DRV - (LSI_FC) -- C:\Windows\system32\DRIVERS\lsi_fc.sys (LSI Corporation) DRV - (LSI_SAS2) -- C:\Windows\system32\DRIVERS\lsi_sas2.sys (LSI Corporation) DRV - (iirsp) -- C:\Windows\system32\DRIVERS\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (megasas) -- C:\Windows\system32\DRIVERS\megasas.sys (LSI Corporation) DRV - (hwpolicy) -- C:\Windows\System32\drivers\hwpolicy.sys (Microsoft Corporation) DRV - (elxstor) -- C:\Windows\system32\DRIVERS\elxstor.sys (Emulex) DRV - (aic78xx) -- C:\Windows\system32\DRIVERS\djsvs.sys (Adaptec, Inc.) DRV - (HpSAMD) -- C:\Windows\system32\DRIVERS\HpSAMD.sys (Hewlett-Packard Company) DRV - (FsDepends) -- C:\Windows\System32\drivers\fsdepends.sys (Microsoft Corporation) DRV - (vsmraid) -- C:\Windows\system32\DRIVERS\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation) DRV - (vhdmp) -- C:\Windows\system32\DRIVERS\vhdmp.sys (Microsoft Corporation) DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation) DRV - (vdrvroot) -- C:\Windows\system32\DRIVERS\vdrvroot.sys (Microsoft Corporation) DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation) DRV - (WIMMount) -- C:\Windows\System32\drivers\wimmount.sys (Microsoft Corporation) DRV - (viaide) -- C:\Windows\system32\DRIVERS\viaide.sys (VIA Technologies, Inc.) DRV - (ql2300) -- C:\Windows\system32\DRIVERS\ql2300.sys (QLogic Corporation) DRV - (rdyboost) -- C:\Windows\System32\drivers\rdyboost.sys (Microsoft Corporation) DRV - (ql40xx) -- C:\Windows\system32\DRIVERS\ql40xx.sys (QLogic Corporation) DRV - (SiSRaid4) -- C:\Windows\system32\DRIVERS\sisraid4.sys (Silicon Integrated Systems) DRV - (pcw) -- C:\Windows\System32\drivers\pcw.sys (Microsoft Corporation) DRV - (SiSRaid2) -- C:\Windows\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp.) DRV - (stexstor) -- C:\Windows\system32\DRIVERS\stexstor.sys (Promise Technology) DRV - (CNG) -- C:\Windows\System32\Drivers\cng.sys (Microsoft Corporation) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\System32\Drivers\Brserid.sys (Brother Industries Ltd.) DRV - (rdpbus) -- C:\Windows\System32\drivers\rdpbus.sys (Microsoft Corporation) DRV - (RDPREFMP) -- C:\Windows\System32\drivers\RDPREFMP.sys (Microsoft Corporation) DRV - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\System32\drivers\agilevpn.sys (Microsoft Corporation) DRV - (WfpLwf) -- C:\Windows\System32\drivers\wfplwf.sys (Microsoft Corporation) DRV - (NdisCap) -- C:\Windows\System32\drivers\ndiscap.sys (Microsoft Corporation) DRV - (vwifibus) -- C:\Windows\System32\drivers\vwifibus.sys (Microsoft Corporation) DRV - (1394ohci) -- C:\Windows\System32\drivers\1394ohci.sys (Microsoft Corporation) DRV - (UmPass) -- C:\Windows\system32\DRIVERS\umpass.sys (Microsoft Corporation) DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) DRV - (mshidkmdf) -- C:\Windows\System32\drivers\mshidkmdf.sys (Microsoft Corporation) DRV - (MTConfig) -- C:\Windows\system32\DRIVERS\MTConfig.sys (Microsoft Corporation) DRV - (xnacc) -- C:\Windows\System32\drivers\xnacc.sys (Microsoft Corporation) DRV - (CompositeBus) -- C:\Windows\System32\drivers\CompositeBus.sys (Microsoft Corporation) DRV - (AppID) -- C:\Windows\system32\drivers\appid.sys (Microsoft Corporation) DRV - (scfilter) -- C:\Windows\System32\drivers\scfilter.sys (Microsoft Corporation) DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation) DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation) DRV - (discache) -- C:\Windows\System32\drivers\discache.sys (Microsoft Corporation) DRV - (HidBatt) -- C:\Windows\system32\DRIVERS\HidBatt.sys (Microsoft Corporation) DRV - (AcpiPmi) -- C:\Windows\system32\DRIVERS\acpipmi.sys (Microsoft Corporation) DRV - (AmdPPM) -- C:\Windows\system32\DRIVERS\amdppm.sys (Microsoft Corporation) DRV - (hcw85cir) -- C:\Windows\system32\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV - (BrUsbMdm) -- C:\Windows\System32\Drivers\BrUsbMdm.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\System32\Drivers\BrUsbSer.sys (Brother Industries Ltd.) DRV - (BrSerWdm) -- C:\Windows\System32\Drivers\BrSerWdm.sys (Brother Industries Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\DRIVERS\BrFiltLo.sys (Brother Industries, Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\DRIVERS\BrFiltUp.sys (Brother Industries, Ltd.) DRV - (b57nd60x) -- C:\Windows\System32\drivers\b57nd60x.sys (Broadcom Corporation) DRV - (ebdrv) -- C:\Windows\system32\DRIVERS\evbdx.sys (Broadcom Corporation) DRV - (b06bdrv) -- C:\Windows\system32\DRIVERS\bxvbdx.sys (Broadcom Corporation) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (FWLANUSB) -- C:\Windows\System32\drivers\fwlanusb.sys (AVM GmbH) DRV - (xusb21) -- C:\Windows\System32\drivers\xusb21.sys (Microsoft Corporation) DRV - (RTL8167) -- C:\Windows\System32\drivers\Rt86win7.sys (Realtek Corporation ) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\Windows\System32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\Windows\System32\drivers\sfsync02.sys (Protection Technology) DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\Windows\System32\drivers\sfhlp02.sys (Protection Technology) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 65 30 BB DD CA 6A CA 01 [binary data] IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "google.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.2pre\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.04.05 17:51:20 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.2pre\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.04.05 17:51:20 | 000,000,000 | ---D | M] [2009.11.21 18:54:10 | 000,000,000 | ---D | M] -- C:\Users\Timo\AppData\Roaming\mozilla\Extensions [2010.04.18 13:41:40 | 000,000,000 | ---D | M] -- C:\Users\Timo\AppData\Roaming\mozilla\Firefox\Profiles\mhpsqhx0.default\extensions [2010.03.26 16:50:39 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Timo\AppData\Roaming\mozilla\Firefox\Profiles\mhpsqhx0.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.02.01 17:17:23 | 000,000,000 | ---D | M] -- C:\Users\Timo\AppData\Roaming\mozilla\Firefox\Profiles\mhpsqhx0.default\extensions\allglassv2@ambroos.neowin.net [2010.01.24 20:46:23 | 000,000,000 | ---D | M] -- C:\Users\Timo\AppData\Roaming\mozilla\Firefox\Profiles\mhpsqhx0.default\extensions\Foxdie@tanjihay.com [2010.01.24 20:46:36 | 000,000,000 | ---D | M] -- C:\Users\Timo\AppData\Roaming\mozilla\Firefox\Profiles\mhpsqhx0.default\extensions\foxdie_ext_ocelot@foxdie.us [2010.01.24 20:46:23 | 000,000,000 | ---D | M] -- C:\Users\Timo\AppData\Roaming\mozilla\Firefox\Profiles\mhpsqhx0.default\extensions\FoxdieGraphite@tanjihay.com [2010.04.16 14:40:41 | 000,000,944 | ---- | M] () -- C:\Users\Timo\AppData\Roaming\Mozilla\FireFox\Profiles\mhpsqhx0.default\searchplugins\icqplugin.xml [2010.02.02 16:46:44 | 000,001,713 | ---- | M] () -- C:\Users\Timo\AppData\Roaming\Mozilla\FireFox\Profiles\mhpsqhx0.default\searchplugins\youtube-videosuche.xml O1 HOSTS File: ([2010.02.22 22:33:57 | 000,001,021 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 im.adtech.de O1 - Hosts: 127.0.0.1 adserver.adtech.de O1 - Hosts: 127.0.0.1 adtech.de O1 - Hosts: 127.0.0.1 ar.atwola.com O1 - Hosts: 127.0.0.1 atwola.com O1 - Hosts: 127.0.0.1 adserver.71i.de O1 - Hosts: 127.0.0.1 adicqserver.71i.de O1 - Hosts: 127.0.0.1 71i.de O2 - BHO: (SnagIt Toolbar Loader) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\Snagit\SnagitBHO.dll (TechSmith Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM\..\Toolbar: (Snagit) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\Snagit\SnagitIEAddin.dll (TechSmith Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin) O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKCU..\Run: [ICQ] D:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.) O4 - HKCU..\Run: [Steam] d:\spiele\steam\steam.exe (Valve Corporation) O4 - Startup: C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RealTempGT.lnk = D:\Programme\RealTemp_340\RealTempGT.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: svhost = C:\Windows\sys32\svhost.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: svhost = C:\Windows\sys32\svhost.exe File not found O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.) O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.182.1 O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (C:\Users\Timo\AppData\Roaming\wayh.exe) - C:\Users\Timo\AppData\Roaming\wayh.exe (YZu) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{29471910-d6cf-11de-bfd7-001f3f086d82}\Shell - "" = AutoRun O33 - MountPoints2\{29471910-d6cf-11de-bfd7-001f3f086d82}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.18 13:58:42 | 000,562,176 | ---- | C] (OldTimer Tools) -- C:\Users\Timo\Desktop\OTL.exe [2010.04.18 13:51:26 | 000,000,000 | ---D | C] -- C:\Programme\AVM_update [2010.04.17 01:32:32 | 000,196,608 | RHS- | C] (YZu) -- C:\Users\Timo\AppData\Roaming\wayh.exe [2010.04.16 17:32:02 | 000,000,000 | ---D | C] -- C:\ProgramData\TrackMania [2010.04.16 14:29:41 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Roaming\Malwarebytes [2010.04.16 14:29:34 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.04.16 14:29:32 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.04.16 14:29:32 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.04.16 14:29:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.04.15 22:21:44 | 000,000,000 | ---D | C] -- C:\Users\Timo\Desktop\VisualBoyAdvance-1.7.2 [2010.04.15 21:28:25 | 000,000,000 | ---D | C] -- C:\Programme\TightVNC [2010.04.15 20:32:29 | 000,000,000 | -HSD | C] -- C:\ProgramData\SecuROM [2010.04.15 19:30:15 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.04.15 15:35:15 | 003,954,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe [2010.04.15 15:35:15 | 003,899,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe [2010.04.15 15:35:15 | 000,427,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\vbscript.dll [2010.04.13 15:50:24 | 000,000,000 | ---D | C] -- C:\Fraps [2010.04.13 15:32:43 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Local\gctmp [2010.04.13 15:32:42 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Local\Xenocode [2010.04.12 19:25:43 | 000,000,000 | ---D | C] -- C:\Users\Timo\Desktop\hotel [2010.04.11 19:27:09 | 000,000,000 | ---D | C] -- C:\Users\Timo\Desktop\Gammel Archiv [2010.04.05 17:51:49 | 000,000,000 | ---D | C] -- C:\Programme\iPod [2010.04.05 17:51:48 | 000,000,000 | ---D | C] -- C:\Programme\iTunes [2010.04.05 17:51:48 | 000,000,000 | ---D | C] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.04.05 17:51:14 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime [2010.04.05 17:50:50 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update [2010.04.05 17:50:13 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour [2010.04.05 17:46:30 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Local\Diagnostics [2010.04.05 17:15:30 | 000,000,000 | ---D | C] -- C:\Programme\RegCleaner [2010.04.04 14:13:15 | 000,000,000 | ---D | C] -- C:\Programme\V2W [2010.04.04 14:13:14 | 010,309,467 | ---- | C] (Axialis Software) -- C:\Windows\System32\Super Mario Bros..scr [2010.04.04 14:13:08 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Local\Axialis [2010.04.01 18:23:36 | 000,172,032 | ---- | C] (GxieL9) -- C:\Users\Timo\AppData\Roaming\bf.exe [2010.03.31 17:56:12 | 000,606,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll [2010.03.31 17:56:12 | 000,381,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll [2010.03.31 17:56:12 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll [2010.03.29 16:05:14 | 000,000,000 | ---D | C] -- C:\Programme\fritz.box_ipchanger [2010.03.27 17:31:58 | 000,030,536 | ---- | C] (TuneUp Software) -- C:\Windows\System32\TURegOpt.exe [2010.03.27 17:31:56 | 000,030,024 | ---- | C] (TuneUp Software) -- C:\Windows\System32\uxtuneup.dll [2010.03.27 17:31:56 | 000,021,320 | ---- | C] (TuneUp Software) -- C:\Windows\System32\authuitu.dll [2010.03.27 17:31:49 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Roaming\TuneUp Software [2010.03.27 17:30:47 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software [2010.03.27 17:30:41 | 000,000,000 | -HSD | C] -- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2010.03.27 17:22:09 | 000,000,000 | ---D | C] -- C:\Users\Timo\AppData\Roaming\Avira [2010.03.27 17:21:17 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\Windows\System32\drivers\avgntdd.sys [2010.03.27 17:21:17 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\Windows\System32\drivers\avgntmgr.sys [2010.03.20 19:58:05 | 000,000,000 | ---D | C] -- C:\Casino [4 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.18 16:08:23 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT [2010.04.18 16:08:19 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.04.18 16:07:21 | 008,650,752 | -HS- | M] () -- C:\Users\Timo\NTUSER.DAT [2010.04.18 16:07:19 | 001,349,083 | -H-- | M] () -- C:\Users\Timo\AppData\Local\IconCache.db [2010.04.18 13:58:45 | 000,562,176 | ---- | M] (OldTimer Tools) -- C:\Users\Timo\Desktop\OTL.exe [2010.04.18 13:37:17 | 000,016,944 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.04.18 13:37:17 | 000,016,944 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.04.18 13:34:26 | 000,830,490 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.04.18 13:34:26 | 000,660,084 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.04.18 13:34:26 | 000,182,738 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.04.18 13:34:26 | 000,153,966 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.04.18 13:34:26 | 000,004,564 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI [2010.04.17 11:47:00 | 000,139,128 | ---- | M] () -- C:\Windows\System32\drivers\PnkBstrK.sys [2010.04.17 11:46:51 | 000,215,128 | ---- | M] () -- C:\Windows\System32\PnkBstrB.xtr [2010.04.17 01:32:32 | 000,196,608 | RHS- | M] (YZu) -- C:\Users\Timo\AppData\Roaming\wayh.exe [2010.04.16 14:29:36 | 000,000,979 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.15 20:28:28 | 000,107,888 | ---- | M] (Sony DADC Austria AG.) -- C:\Windows\System32\CmdLineExt.dll [2010.04.15 19:30:15 | 000,002,039 | ---- | M] () -- C:\Users\Timo\Desktop\HijackThis.lnk [2010.04.13 15:50:57 | 000,000,000 | ---- | M] () -- C:\Users\Timo\AppData\Roaming\chrtmp [2010.04.13 15:50:25 | 000,000,562 | ---- | M] () -- C:\Users\Timo\Desktop\Fraps.lnk [2010.04.09 14:17:48 | 000,012,288 | -H-- | M] () -- C:\Users\Timo\Desktop\photothumb.db [2010.04.05 17:52:00 | 000,002,429 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk [2010.04.05 17:17:02 | 000,000,928 | ---- | M] () -- C:\Users\Timo\Desktop\RegCleaner.lnk [2010.04.04 14:13:14 | 010,309,467 | ---- | M] (Axialis Software) -- C:\Windows\System32\Super Mario Bros..scr [2010.04.01 22:24:34 | 002,535,485 | ---- | M] () -- C:\Users\Timo\AppData\Roaming\ fraps303.exe [2010.04.01 18:23:36 | 000,172,032 | ---- | M] (GxieL9) -- C:\Users\Timo\AppData\Roaming\bf.exe [2010.03.30 17:53:00 | 000,000,917 | ---- | M] () -- C:\Users\Timo\Documents\Mein Geld!!!!.rtf [2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.03.27 17:31:53 | 000,000,951 | ---- | M] () -- C:\Users\Public\Desktop\TuneUp 1-Klick-Wartung.lnk [4 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.16 14:29:36 | 000,000,979 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.15 19:30:15 | 000,002,039 | ---- | C] () -- C:\Users\Timo\Desktop\HijackThis.lnk [2010.04.13 15:50:57 | 000,000,000 | ---- | C] () -- C:\Users\Timo\AppData\Roaming\chrtmp [2010.04.13 15:50:25 | 000,000,562 | ---- | C] () -- C:\Users\Timo\Desktop\Fraps.lnk [2010.04.09 13:04:16 | 000,012,288 | -H-- | C] () -- C:\Users\Timo\Desktop\photothumb.db [2010.04.05 17:52:00 | 000,002,429 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk [2010.04.05 17:15:31 | 000,000,928 | ---- | C] () -- C:\Users\Timo\Desktop\RegCleaner.lnk [2010.04.01 22:24:34 | 002,535,485 | ---- | C] () -- C:\Users\Timo\AppData\Roaming\ fraps303.exe [2010.03.30 17:52:59 | 000,000,917 | ---- | C] () -- C:\Users\Timo\Documents\Mein Geld!!!!.rtf [2010.03.27 17:31:53 | 000,000,951 | ---- | C] () -- C:\Users\Public\Desktop\TuneUp 1-Klick-Wartung.lnk [2010.03.11 00:20:33 | 000,000,829 | ---- | C] () -- C:\Users\Timo\.recently-used.xbel [2010.01.28 22:09:39 | 000,139,128 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys [2010.01.28 22:09:39 | 000,138,056 | ---- | C] () -- C:\Users\Timo\AppData\Roaming\PnkBstrK.sys [2009.12.28 20:29:43 | 000,000,552 | ---- | C] () -- C:\Users\Timo\AppData\Roaming\SQLite3.dll [2009.12.27 17:24:03 | 000,000,083 | ---- | C] () -- C:\Windows\wwp.INI [2009.12.12 17:34:22 | 002,551,568 | ---- | C] () -- C:\Users\Timo\AppData\Roaming\fraps303.exe [2009.12.11 00:21:02 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll [2009.11.26 19:30:23 | 000,000,258 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini [2009.11.25 21:17:13 | 000,691,696 | ---- | C] () -- C:\Windows\System32\drivers\sptd.sys [2009.11.25 20:07:40 | 000,000,017 | ---- | C] () -- C:\Users\Timo\AppData\Local\resmon.resmoncfg [2009.11.21 18:37:50 | 000,003,584 | ---- | C] () -- C:\Users\Timo\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.11.21 18:35:54 | 008,650,752 | -HS- | C] () -- C:\Users\Timo\NTUSER.DAT [2009.11.21 18:35:54 | 000,524,288 | -HS- | C] () -- C:\Users\Timo\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms [2009.11.21 18:35:54 | 000,524,288 | -HS- | C] () -- C:\Users\Timo\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms [2009.11.21 18:35:54 | 000,262,144 | -HS- | C] () -- C:\Users\Timo\ntuser.dat.LOG1 [2009.11.21 18:35:54 | 000,065,536 | -HS- | C] () -- C:\Users\Timo\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf [2009.11.21 18:35:54 | 000,000,020 | -HS- | C] () -- C:\Users\Timo\ntuser.ini [2009.11.21 18:35:54 | 000,000,000 | -HS- | C] () -- C:\Users\Timo\ntuser.dat.LOG2 [2009.11.06 11:58:04 | 000,178,975 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat [2009.08.03 01:21:54 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll [2009.08.03 01:21:52 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll [2009.08.03 01:21:52 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll [2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll [2007.11.20 04:14:09 | 000,000,068 | R--- | C] () -- C:\Windows\CmiOemConfig.ini ========== Files - Unicode (All) ========== [2010.02.01 00:09:11 | 000,000,125 | ---- | M] ()(C:\Users\Timo\Desktop\?.url) -- C:\Users\Timo\Desktop\♥.url [2010.02.01 00:09:03 | 000,000,125 | ---- | C] ()(C:\Users\Timo\Desktop\?.url) -- C:\Users\Timo\Desktop\♥.url < End of report > EXTRAS OTL Extras logfile created on: 18.04.2010 16:10:57 - Run 2 OTL by OldTimer - Version 3.2.1.2 Folder = C:\Users\Timo\Desktop Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 76,00% Memory free 7,00 Gb Paging File | 6,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 146,48 Gb Total Space | 92,77 Gb Free Space | 63,33% Space Free | Partition Type: NTFS Drive D: | 319,28 Gb Total Space | 12,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: TIMOGAMING Current User Name: Timo Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = Reg Error: Unknown registry data type -- File not found "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{00C5F4F4-62F9-40D7-8000-AD8A9CD0C669}" = Microsoft Games for Windows - LIVE Redistributable "{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam "{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.0 Build #1205 Banner Remover 1.0 "{1596098A-FCEC-48F0-B7C7-08A31B771031}" = Nero 7 Essentials "{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15 "{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime "{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie "{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2 "{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll "{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{5A0B7BA5-4682-4273-81C2-69B17E649103}" = GRID "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync "{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client "{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE) "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7 "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{996A2FAA-7514-4628-9D12-A8FC34A0016E}" = iTunes "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A1C962E2-2426-49C6-A38B-9A07E40D607C}" = Microsoft Games for Windows - LIVE "{B440D659-FECA-4BDD-A12B-5C9F05790FF3}" = Snagit 9.1.2 "{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX "{CBCF859F-04BE-4A07-B6FA-F4FAD69EF1ED}" = LightScribe System Software 1.10.27.1 "{D0B2AA8F-CC52-4298-A48E-A9BA169546B6}" = Cabela's Outdoor Adventures "{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities "{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform "{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU] "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "7-Zip" = 7-Zip 4.65 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "AVMWLANCLI" = AVM FRITZ!WLAN "CopyTrans Suite" = Nur Deinstallierung der CopyTrans Suite möglich. "DAEMON Tools Toolbar" = DAEMON Tools Toolbar "Fraps" = Fraps (remove only) "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2 "HijackThis" = HijackThis 2.0.2 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre) "NVIDIA Display Control Panel" = NVIDIA Display Control Panel "NVIDIA Drivers" = NVIDIA Drivers "NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver "OpenAL" = OpenAL "PhotoScape" = PhotoScape "PunkBusterSvc" = PunkBuster Services "Rainlendar2" = Rainlendar2 (remove only) "Steam App 10" = Counter-Strike "Steam App 10180" = Call of Duty: Modern Warfare 2 "Steam App 10190" = Call of Duty: Modern Warfare 2 - Multiplayer "Steam App 12210" = Grand Theft Auto IV "Steam App 18820" = Zero Gear "Steam App 220" = Half-Life 2 "Steam App 240" = Counter-Strike: Source "Steam App 30" = Day of Defeat "Steam App 300" = Day of Defeat: Source "Super Mario Bros. Screensaver" = Super Mario Bros. Screensaver "Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2 "TeamSpeak 3 Client" = TeamSpeak 3 Client "TightVNC_is1" = TightVNC 1.3.10 "TmNationsForever_is1" = TmNationsForever Update 2010-03-15 "TuneUp Utilities" = TuneUp Utilities "VLC media player" = VLC media player 1.0.3 "Winamp" = Winamp "WinGimp-2.0_is1" = GIMP 2.6.8 "WinLiveSuite_Wave3" = Windows Live Essentials ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 16.04.2010 19:37:15 | Computer Name = TimoGaming | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 16.04.2010 19:37:15 | Computer Name = TimoGaming | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 16.04.2010 19:37:15 | Computer Name = TimoGaming | Source = Microsoft-Windows-LoadPerf | ID = 3011 Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error - 16.04.2010 19:57:52 | Computer Name = TimoGaming | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: java.exe, Version: 6.0.150.3, Zeitstempel: 0x4a6ad1a7 Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0xc0000005 Fehleroffset: 0x17161514 ID des fehlerhaften Prozesses: 0xd58 Startzeit der fehlerhaften Anwendung: 0x01caddc097df1f79 Pfad der fehlerhaften Anwendung: C:\Program Files\Java\jre6\bin\java.exe Pfad des fehlerhaften Moduls: unknown Berichtskennung: de20c076-49b3-11df-9829-001f3f086d82 Error - 16.04.2010 20:09:20 | Computer Name = TimoGaming | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs im assemblyIdentity-Element ist ungültig. Error - 17.04.2010 08:49:47 | Computer Name = TimoGaming | Source = VSS | ID = 8194 Description = Error - 17.04.2010 18:30:39 | Computer Name = TimoGaming | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs im assemblyIdentity-Element ist ungültig. Error - 18.04.2010 07:34:23 | Computer Name = TimoGaming | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 18.04.2010 07:34:23 | Computer Name = TimoGaming | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 18.04.2010 07:34:23 | Computer Name = TimoGaming | Source = Microsoft-Windows-LoadPerf | ID = 3011 Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. [ System Events ] Error - 16.04.2010 19:31:29 | Computer Name = TimoGaming | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: sfdrv01 sfsync02 Error - 18.04.2010 07:29:33 | Computer Name = TimoGaming | Source = Application Popup | ID = 875 Description = Treiber sfsync02.sys konnte nicht geladen werden. Error - 18.04.2010 07:29:37 | Computer Name = TimoGaming | Source = Application Popup | ID = 875 Description = Treiber sfdrv01.sys konnte nicht geladen werden. Error - 18.04.2010 07:29:49 | Computer Name = TimoGaming | Source = Service Control Manager | ID = 7000 Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 18.04.2010 07:29:58 | Computer Name = TimoGaming | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: sfdrv01 sfsync02 Error - 18.04.2010 08:12:21 | Computer Name = TimoGaming | Source = DCOM | ID = 10010 Description = Error - 18.04.2010 10:08:04 | Computer Name = TimoGaming | Source = Application Popup | ID = 875 Description = Treiber sfsync02.sys konnte nicht geladen werden. Error - 18.04.2010 10:08:08 | Computer Name = TimoGaming | Source = Application Popup | ID = 875 Description = Treiber sfdrv01.sys konnte nicht geladen werden. Error - 18.04.2010 10:08:24 | Computer Name = TimoGaming | Source = Service Control Manager | ID = 7000 Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 18.04.2010 10:08:37 | Computer Name = TimoGaming | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: sfdrv01 sfsync02 < End of report > |
Hi, zwei Files online prüfen (falls nicht erkannt aus dem OTL-Script rausnehmen!): Dateien Online überprüfen lassen:
Code: C:\Users\Timo\AppData\Roaming\bf.exe
Code: :OTL
Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Datei bf.exe empfangen 2010.04.17 22:31:03 (UTC) Status: Beendet Ergebnis: 14/40 (35.00%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.04.17 Trojan-Dropper!IK AhnLab-V3 5.0.0.2 2010.04.17 - AntiVir 7.10.6.115 2010.04.16 TR/Dropper.Gen Antiy-AVL 2.0.3.7 2010.04.16 - Authentium 5.2.0.5 2010.04.16 W32/VBTrojan.Dropper.4!Maximus Avast 4.8.1351.0 2010.04.17 Win32:Malware-gen Avast5 5.0.332.0 2010.04.17 Win32:Malware-gen AVG 9.0.0.787 2010.04.17 Dropper.Generic2.AUO BitDefender 7.2 2010.04.18 - CAT-QuickHeal 10.00 2010.04.17 - ClamAV 0.96.0.3-git 2010.04.17 - Comodo 4629 2010.04.17 - DrWeb 5.0.2.03300 2010.04.17 - eSafe 7.0.17.0 2010.04.15 - eTrust-Vet 35.2.7431 2010.04.17 - F-Prot 4.5.1.85 2010.04.17 W32/VBTrojan.Dropper.4!Maximus F-Secure 9.0.15370.0 2010.04.16 - Fortinet 4.0.14.0 2010.04.17 - GData 19 2010.04.18 Win32:Malware-gen Ikarus T3.1.1.80.0 2010.04.17 Trojan-Dropper Jiangmin 13.0.900 2010.04.17 Heur:Trojan/AntiVM Kaspersky 7.0.0.125 2010.04.18 - McAfee 5.400.0.1158 2010.04.18 - McAfee-GW-Edition 6.8.5 2010.04.17 Trojan.Dropper.Gen Microsoft 1.5605 2010.04.17 - NOD32 5036 2010.04.17 Win32/Inject.NDA Norman 6.04.11 2010.04.16 - nProtect 2010-04-17.01 2010.04.17 - Panda 10.0.2.7 2010.04.17 - PCTools 7.0.3.5 2010.04.17 - Prevx 3.0 2010.04.18 High Risk Cloaked Malware Rising 22.43.05.03 2010.04.17 - Sophos 4.52.0 2010.04.17 - Sunbelt 6188 2010.04.17 Trojan.Win32.Generic!BT Symantec 20091.2.0.41 2010.04.18 - TheHacker 6.5.2.0.263 2010.04.16 - TrendMicro 9.120.0.1004 2010.04.15 - VBA32 3.12.12.4 2010.04.15 - ViRobot 2010.4.17.2282 2010.04.17 - VirusBuster 5.0.27.0 2010.04.17 - weitere Informationen File size: 172032 bytes MD5 : b71d9b7ad67acfb1b1833493c0f3086b SHA1 : f68b802be6b1ffffd3a121fafd5587c6084b9751 SHA256: 5fd77e4a3dabac42822317417018640dc151ae47f7a146e40a6f9587ed377443 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x18F4 timedatestamp.....: 0x4BB4C848 (Thu Apr 1 18:22:32 2010) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x130EC 0x14000 5.57 ac1aa1ec6507fef2c3391ebf1a59b78b .data 0x15000 0x5F8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x16000 0x138D4 0x14000 7.94 a8737e72965c66c19ef58e4540df0a32 ( 1 imports ) > msvbvm60.dll: _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, __vbaPut3, __vbaEnd, _adj_fdiv_m64, __vbaRaiseEvent, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaAryDestruct, __vbaExitProc, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, __vbaBoolVarNull, _CIsin, __vbaErase, __vbaVarZero, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaAryConstruct2, __vbaVarTstEq, __vbaPutOwner3, __vbaI2I4, __vbaVarLikeVar, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaUI1ErrVar, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStr2Vec, __vbaExceptHandler, -, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaInStrVar, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, __vbaLsetFixstrFree, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, __vbaNew2, __vbaInStr, __vbaVar2Vec, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, __vbaFreeStrList, __vbaDerefAry1, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaVarAdd, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, __vbaFpI4, __vbaVarCopy, -, _CIatan, __vbaStrMove, -, __vbaR8IntI4, __vbaStrVarCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeObj, __vbaI4ErrVar, __vbaFreeStr, - ( 0 exports ) TrID : File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 3072:ajRw4ETCWg7/Na/Ami9HE5+I7GPj7Gm4Rvd50OWUVfabvKUdwYlvAPNZj:ajS4ETCWg7/Na/Ami9HE5+I7GPj0f0OL sigcheck: publisher....: GxieL9 copyright....: n/a product......: AxUWVTDnX description..: n/a original name: HnctH8.exe internal name: HnctH8 file version.: 16.402.0954 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned Prevx Info: hxxp://info.prevx.com/aboutprogramtext.asp?PX5=71B656CD00E33407A08702B82987D300F0E270D4 PEiD : - RDS : NSRL Reference Data Set - Datei wayh.exe empfangen 2010.04.18 21:38:31 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 7/40 (17.5%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.04.18 - AhnLab-V3 5.0.0.2 2010.04.18 - AntiVir 7.10.6.116 2010.04.18 TR/Dropper.Gen Antiy-AVL 2.0.3.7 2010.04.16 - Authentium 5.2.0.5 2010.04.16 - Avast 4.8.1351.0 2010.04.18 - Avast5 5.0.332.0 2010.04.18 - AVG 9.0.0.787 2010.04.18 - BitDefender 7.2 2010.04.18 - CAT-QuickHeal 10.00 2010.04.17 - ClamAV 0.96.0.3-git 2010.04.18 - Comodo 4639 2010.04.18 Heur.Suspicious DrWeb 5.0.2.03300 2010.04.18 - eSafe 7.0.17.0 2010.04.18 - eTrust-Vet 35.2.7433 2010.04.18 - F-Prot 4.5.1.85 2010.04.18 - F-Secure 9.0.15370.0 2010.04.18 - Fortinet 4.0.14.0 2010.04.18 - GData 19 2010.04.18 - Ikarus T3.1.1.80.0 2010.04.18 - Jiangmin 13.0.900 2010.04.18 - Kaspersky 7.0.0.125 2010.04.18 - McAfee 5.400.0.1158 2010.04.18 - McAfee-GW-Edition 6.8.5 2010.04.18 Trojan.Dropper.Gen Microsoft 1.5605 2010.04.18 Trojan:Win32/Rimecud.A NOD32 5039 2010.04.18 probably a variant of Win32/Injector.BJC Norman 6.04.11 2010.04.16 - nProtect 2010-04-18.01 2010.04.18 - Panda 10.0.2.7 2010.04.18 - PCTools 7.0.3.5 2010.04.18 - Prevx 3.0 2010.04.18 High Risk Cloaked Malware Rising 22.43.06.03 2010.04.18 - Sophos 4.52.0 2010.04.18 Mal/VBInject-T Sunbelt 6192 2010.04.18 - Symantec 20091.2.0.41 2010.04.18 - TheHacker 6.5.2.0.264 2010.04.18 - TrendMicro 9.120.0.1004 2010.04.15 - VBA32 3.12.12.4 2010.04.15 - ViRobot 2010.4.17.2282 2010.04.18 - VirusBuster 5.0.27.0 2010.04.18 - weitere Informationen File size: 196608 bytes MD5...: bfe468d2c221c79a8b12135e72d6f941 SHA1..: 8a5f08c6bc6ecbe2cca0fe724decd6a2504486ad SHA256: 2cceb0fa75c3616044b3804204af7d2c5da037f9b61c8faf41bdced340c9635a ssdeep: 3072:+0BPyTWi65YUwF6Pwto7uZ30+pqQ1I+vpRt8XN6SWXTgxNw49DLj:+X/df5 uMk+nIkJVTKNw4 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1834 timedatestamp.....: 0x4bc8d880 (Fri Apr 16 21:37:04 2010) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x17710 0x18000 5.64 846bc63911d9bb7522fa1cd4925e0bb2 .data 0x19000 0x4e4 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x1a000 0x1516c 0x16000 7.88 56b641b5cc18595edce580c18ddce46c ( 1 imports ) > MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, __vbaEnd, __vbaPut3, _adj_fdiv_m64, __vbaRaiseEvent, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaAryDestruct, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaVarIndexLoad, __vbaBoolVarNull, _CIsin, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaAryConstruct2, __vbaVarTstEq, __vbaPutOwner3, __vbaI2I4, __vbaVarLikeVar, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, __vbaUI1ErrVar, EVENT_SINK_Release, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStr2Vec, __vbaExceptHandler, -, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaInStrVar, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, __vbaLsetFixstrFree, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, __vbaNew2, __vbaVar2Vec, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, __vbaFreeStrList, __vbaDerefAry1, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, __vbaFpI4, -, _CIatan, __vbaStrMove, -, __vbaR8IntI4, __vbaStrVarCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaI4ErrVar, __vbaFreeStr, __vbaFreeObj, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: YZu copyright....: n/a product......: Ph3NQhLtzw description..: n/a original name: XhN.exe internal name: XhN file version.: 6.793.0455 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=D78DECA600CFF21100220341093ACD004C88612E' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=D78DECA600CFF21100220341093ACD004C88612E</a> |
nach dem drücken des Run Fixes .. kam ich wieder auf den anmeldebildschirm und eine results box oder ähnliches fand ich nicht , das programm war geschlossen und eine textdatei gibt es auch nicht .. und finde in dem OTL ordner keine datei auser diese 2: C:\_OTL\MovedFiles\04182010_234202\C_Users\****\AppData\Roaming bf.exe und wayh.exe ... |
Hi, ist okay, da dass aber TrojanDownloader waren, sofort MAM updaten und noch mal Komplettscan und alles beseitigen lassen. Einer davon war mit Sicherheit aktiv... chris |
Hallo ;-) ich habe leider ähnliches Problem. Ist mir ein Rätsel wie das passieren konnte..:-/ Ich hoffe, einer kann mir helfen :) Code: Logfile of Trend Micro HijackThis v2.0.2 |
@zacharias Hi, Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Vielen Dank für die schnelle Antwort! Hier die geforderten Logs: OTL: Code: OTL Extras logfile created on: 21.04.2010 14:12:08 - Run 1 |
OTL #2: Code: OTL logfile created on: 21.04.2010 14:12:08 - Run 1 |
MAM: Code: Malwarebytes' Anti-Malware 1.45 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board