Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Systemübernahme oder/und Malware? - WIN XP (https://www.trojaner-board.de/89849-systemuebernahme-malware-win-xp.html)

anfrage 23.08.2010 10:34
Systemübernahme oder/und Malware? - WIN XP
 
Hallo Community!
Ich habe wahrscheinlich ein böses Malware-Problem auf zwei nicht
miteinander vernetzten PCs und bitte Euch um Hilfe + Tipps.

PC-Systeme:
WIN XP (SP3)


Habe versucht die Trojaner-Board-Arbeitsliste abzuarbeiten (für den 1.PC):
1) CCleaner: OK
Ein Reg-Eintrag konnte nicht entfernt werden: Uninstall-Eintrag
einer alten Version von Agnitum Outpost-Firewall (scheint mir aber
kein Problem)

2) Malwarebyte:
Install: OK
Ausführung: NICHT OK!
manueller Abbruch nach längerer Zeit, in der der Prozess "ohne Rückmeldung"
verbleibt. (Siehe auch meine Symptombeschreibung unten)

3) RSIT + HijackThis: OK
beide Logfiles sind angehängt (aktive Links + Personalisierung entfernt)


Liste der mir aufgefallenen Symptome:

Vorab: der User "NT-AUTORITÄT" (s. info.txt weiter unten im Abschnitt "security event log"), der sich wohl Admin-Rechte gekrallt hat, ist eventuell der Verursacher der folgend
genannten Symptome.

1. Der Windows-Explorer kann den Ordner "Arbeitsplatz" nicht anzeigen.
Beim Versuch friert der Explorer ein und muss abgeschossen werden.
Damit hängt vermutlich auch zusammen, dass diverse Sicherheitssoftware
keinen Komplettscan ausführen kann.

2. Der PC lässt sich nicht herunterfahren bzw. neu starten.
Im Shutdown-Prozess wird "Einstellungen speichern" noch ausgeführt
"Windows wird heruntergefahren" bleibt aber ewig stehen.
Der PC lässt sich nur vom Stromnetz nehmen.
Nach erneutem Einschalten fährt der PC anscheinend normal hoch.

3. Da der PC nicht mehr runter fährt, können keine Sicherheitsupdates
eingespielt werden, die einen Neustart verlangen. Z.T. kann deshalb auch neue (Sicherheits-)Software nicht installiert werden.

4. Wenn ich einzelne Dateien (OnDemand) mit meinem Norman-Antivirus scannen will, wird das Programm zwar gestartet (Taskmanager!) aber offensichtlich nicht komplett geladen, denn das zu erwartende Aktivitäts-Fenster erscheint nicht.

Einer der beiden PCs zeigt noch Sondersymptome:
5. Das jüngste Windows-Monats-Sicherheitspatch wurde nur teilweise aufgespielt:
das .NET-2.0 und -3.5 Sicherheitsupdate wird immer mit einer Fehlermeldung
geschlossen und versucht bei jedem PC-Start erneut die Installation.

6. Das Fenster des Taskmanagers auf diesem PC zeigt den Rahmen inklusive Menüleiste nicht an. Damit ist die Funktionalität des TM natürlich beschränkt.
Da bin ich allerdings unsicher, ob ich zufällig diesen Effekt hervor gerufen habe.
Frage: kann man das ev. per Tastenkombi an- und abschalten (d.h.: Programm-Fensterrahmen)?

Obwohl die Symptome imho für eine Malware-Infektion sprechen, bin ich mir nicht ganz sicher, da ich in den letzten Tagen ziemlich heftig aufgeräumt habe (ccleaner, uninstall) z.b. auch .NET-2.0 deinstalliert. Ob deshalb das
.NET2.0/3.5-Sicherheitsupdate mit Fehlermeldung abschließt?

Anmerkung:
Habe mit meinem Uralt-Hijack VOR Abarbeitung der Trojaner-Board-Arbeitsliste ein Protokoll erstellt (ein paar Tage vorher). Bei Bedarf kann ich es natürlich auch posten).
Frage in die Runde: sind durch Benutzung der Uralt-Version wesentliche
Erkenntnis-Defizite zu erwarten?

Es folgen die RSIT-Logfiles:

Vorab: mir kommt der User "NT-AUTORITÄT" (am Ende von info.txt) SEHR suspekt vor. Hat sich alle möglichen Rechte gekrallt?!


1. log.txt
==========
RSIT Logfile:
Code:
Logfile of random's system information tool 1.08 (written by random/random)
Run by %user% at 2010-08-22 19:05:01
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 25 GB (33%) free of 76 GB
Total RAM: 511 MB (53% free)
 
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:07:53, on 22.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Norman_VirusControl\Npm\bin\ELOGSVC.EXE
C:\Norman_VirusControl\Ngs\Bin\Nprosec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman_VirusControl\Npm\Bin\Zanda.exe
C:\Norman_VirusControl\npm\bin\nvoy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Norman_VirusControl\Npm\Bin\scheduler.exe
C:\Norman_VirusControl\Npm\Bin\Njeeves.exe
C:\Norman_VirusControl\nse\bin\NSESVC.EXE
C:\WINDOWS\System32\alg.exe
C:\Norman_VirusControl\Npm\Bin\ZLH.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Norman_VirusControl\Nvc\bin\nvcoas.exe
C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Software\SpyBot_search_and_destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Norman_VirusControl\Nvc\Bin\Nip.exe
C:\Norman_VirusControl\Nvc\Bin\cclaw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\trend micro\***.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
 
h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
 
h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
 
h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
 
h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -
 
C:\Software\SpyBot_search_and_destroy\SDHelper.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Internet Explorer
 
Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -
 
C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
 
C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} -
 
C:\Software\AT-PROMPT_Translator\PRMTIE\prmtie.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - C:\Programme\Internet Explorer
 
Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Norman_VirusControl\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PCMService] "C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ASM] "C:\Software\AOL_Active Security Monitor\ASMonitor.exe" HIDEMAIN
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame
 
Dateien\Seagate\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programme\Agnitum\Outpost Firewall Pro\feedback.exe"
 
/dump:os_startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\software_multimedia\quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Software\Malwarebytes_Anti-Malware\mbamgui.exe
 
/install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Software\SpyBot_search_and_destroy\TeaTimer.exe
O4 - HKCU\..\Run: [softwareuptodate] C:\Programme\Software-UpToDate\Software_UpToDate_Client.exe /reminder
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} -
 
C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} -
 
C:\Software\AT-PROMPT_Translator\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} -
 
C:\Software\AT-PROMPT_Translator\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} -
 
C:\Software\AT-PROMPT_Translator\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} -
 
C:\Software\AT-PROMPT_Translator\PRMTIE\options.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
 
C:\Software\SpyBot_search_and_destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
 
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Software\SpyBot_search_and_destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
 
Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
 
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Microsoft AntiSpyware helper - {F6BCBA72-9ABD-468B-A538-619F72A8EC8C} - (no file)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {F6BCBA72-9ABD-468B-A538-619F72A8EC8C} - (no
 
file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
 
C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost
 
Firewall 1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} -
 
C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {F6BCBA72-9ABD-468B-A538-619F72A8EC8C} - (no file)
 
(HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {F6BCBA72-9ABD-468B-A538-619F72A8EC8C} - (no
 
file) (HKCU)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) -
 
h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.2.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) -
 
h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
 
h**p://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
 
h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111772620406
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) -
 
h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.6.0_04) -
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) -
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) -
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
 
h**p://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{A97CD352-26B5-4316-AA25-BB698327EA98}: NameServer =
 
69.50.176.197,195.225.176.31
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -
 
C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} -
 
C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame
 
Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. -
 
C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner -
 
C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner -
 
C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared
 
Files\CLML_NTService\CLMLServer.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA -
 
C:\Norman_VirusControl\Npm\bin\ELOGSVC.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -
 
C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LogoMedia TranslateDotNet Server - LogoMedia Corporation - C:\Software\Power
 
Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Norman_VirusControl\Npm\Bin\Njeeves.exe
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman_VirusControl\Npm\Bin\Zanda.exe
O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA -
 
C:\Norman_VirusControl\Ngs\Bin\Nprosec.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA -
 
C:\Norman_VirusControl\nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA -
 
C:\Norman_VirusControl\Nvc\bin\nvcoas.exe
O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Norman_VirusControl\npm\bin\nvoy.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
 
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Software\SiSoftware
 
Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA -
 
C:\Norman_VirusControl\Npm\Bin\scheduler.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Zope instance at C:\Plone\parts\instance (Zope_-722186511) - Unknown owner -
 
C:\Plone\python\PythonService.exe
O23 - Service: Zope instance at C:\Plone\Data (Zope_29920312) - Unknown owner -
 
C:\Plone\Python\PythonService.exe
 
--
End of file - 13181 bytes
 
======Scheduled tasks folder======
 
C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1085903485.job
 
======Registry dump======
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
 
Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Software\SpyBot_search_and_destroy\SDHelper.dll [2009-01-26 1879896]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
 
Objects\{CC7E636D-39AA-49b6-B511-65413DA137A1}]
IE DOM Explorer - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll [2005-09-12 258048]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
 
Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-08-04 41760]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
 
Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-08-04 79648]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{FF284F5C-7CF9-4682-8701-D467C1DBB99F} - Übersetzer - C:\Software\AT-PROMPT_Translator\PRMTIE\prmtie.dll
 
[2005-01-12 434176]
{CC962137-2E78-4f94-975E-FC0C07DBD78F} - Developer Toolbar - C:\Programme\Internet Explorer Developer
 
Toolbar\IEDevToolbar.dll [2005-09-12 258048]
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2003-10-06 5058560]
"Norman ZANDA"=C:\Norman_VirusControl\Npm\Bin\ZLH.EXE [2009-10-07 189824]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"nwiz"=nwiz.exe /install []
"InCD"=C:\Programme\Ahead\InCD\InCD.exe [2005-07-25 1397760]
"FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe [2005-05-27 145920]
"PCMService"=C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\PCMService.exe [2005-04-20 127118]
"ASM"=C:\Software\AOL_Active Security Monitor\ASMonitor.exe [2006-11-07 2500096]
"WinPatrol"=C:\Programme\BillP Studios\WinPatrol\winpatrol.exe [2010-05-31 323976]
"DiscWizardMonitor.exe"=C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe [2007-05-04 1195096]
"AcronisTimounterMonitor"=C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe [2007-05-04 1966560]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe [2007-05-04
 
149024]
"OutpostFeedBack"=C:\Programme\Agnitum\Outpost Firewall Pro\feedback.exe [2009-09-23 436552]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-06-20 35760]
"OutpostMonitor"=C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe [2009-09-23 1270080]
"SunJavaUpdateSched"=C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [2010-05-14 248552]
"QuickTime Task"=C:\software_multimedia\quicktime\QTTask.exe [2010-08-10 421888]
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Software\Malwarebytes_Anti-Malware\mbamgui.exe [2010-04-29 437584]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"NvMediaCenter"=C:\WINDOWS\System32\NVMCTRAY.DLL [2003-10-06 49152]
"SpybotSD TeaTimer"=C:\Software\SpyBot_search_and_destroy\TeaTimer.exe [2009-03-05 2260480]
"softwareuptodate"=C:\Programme\Software-UpToDate\Software_UpToDate_Client.exe [2009-01-03 1229312]
 
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\progra~1\agnitum\outpos~1\wl_hook.dll"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
 
[2006-10-18 133632]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofi
 
le\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\PowerCinema.exe"="C:\Software_Multimedia\CyberLi
 
nk_Home_Cinema\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network
 
Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Software\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe"="C:\Software\SiSoftware Sandra Lite
 
2009.SP2\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\Software\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe"="C:\Software\SiSoftware Sandra
 
Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\Programme\Opera10\opera.exe"="C:\Programme\Opera10\opera.exe:*:Enabled:Opera Internet Browser"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile
 
\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network
 
Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 
======File associations======
 
.js - open - "C:\Software\Macromedia\Dreamweaver MX\Dreamweaver.exe" "%1"
 
======List of files/folders created in the last 1 months======
 
2010-08-22 19:05:08 ----D---- C:\Programme\trend micro
2010-08-22 19:05:01 ----D---- C:\rsit
2010-08-22 18:39:05 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-22 18:35:55 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-08-22 18:35:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-22 18:35:47 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2010-08-18 20:12:58 ----D---- C:\WINDOWS\system32\NtmsData
2010-08-17 20:48:04 ----A---- C:\Dokumente und Einstellungen\All
 
Users\Anwendungsdaten\Microsoft.SqlServer.Compact.351.32.bc
2010-08-16 14:15:56 ----D---- C:\Programme\Windows Live Safety Center
2010-08-13 23:37:30 ----D---- C:\Programme\OpenOffice.org 3
2010-08-13 04:01:52 ----HDC---- C:\WINDOWS\$NtUninstallKB982214$
2010-08-13 03:37:09 ----HDC---- C:\WINDOWS\$NtUninstallKB2115168$
2010-08-13 03:11:09 ----HDC---- C:\WINDOWS\$NtUninstallKB981852$
2010-08-13 02:08:22 ----HDC---- C:\WINDOWS\$NtUninstallKB2079403$
2010-08-13 00:34:35 ----HDC---- C:\WINDOWS\$NtUninstallKB2160329$
2010-08-13 00:13:51 ----HDC---- C:\WINDOWS\$NtUninstallKB980436$
2010-08-12 19:04:29 ----A---- C:\WINDOWS\system32\javaws.exe
2010-08-12 19:04:29 ----A---- C:\WINDOWS\system32\javaw.exe
2010-08-12 19:04:29 ----A---- C:\WINDOWS\system32\java.exe
2010-08-11 21:39:28 ----D---- C:\6bb7b46ce20d692917dab5c3
2010-08-11 21:38:28 ----HDC---- C:\WINDOWS\$NtUninstallKB981997$
2010-08-11 21:21:52 ----HDC---- C:\WINDOWS\$NtUninstallKB982665$
2010-08-11 19:45:54 ----A---- C:\WINDOWS\system32\ntoskrnl.exe
2010-08-07 19:26:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soluto
2010-08-06 01:30:44 ----RSH---- C:\WINDOWS\system32\nbDX.dll
2010-08-06 01:30:43 ----RSH---- C:\WINDOWS\system32\msfDX.dll
2010-08-06 01:30:42 ----RSH---- C:\WINDOWS\system32\flvDX.dll
2010-08-05 13:25:37 ----HDC---- C:\WINDOWS\$NtUninstallKB2286198$
2010-08-01 00:37:03 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
 
======List of files/folders modified in the last 1 months======
 
2010-08-22 19:05:08 ----RD---- C:\Programme
2010-08-22 19:05:07 ----D---- C:\WINDOWS\Prefetch
2010-08-22 19:01:08 ----D---- C:\Daten
2010-08-22 18:36:00 ----D---- C:\WINDOWS\system32\drivers
2010-08-22 18:35:42 ----RD---- C:\Software
2010-08-22 18:29:54 ----A---- C:\WINDOWS\Filzip.ini
2010-08-22 14:47:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search &
 
Destroy
2010-08-22 14:46:44 ----D---- C:\WINDOWS\Debug
2010-08-22 14:46:44 ----D---- C:\WINDOWS
2010-08-22 14:46:34 ----AD---- C:\WINDOWS\Temp
2010-08-22 14:15:44 ----D---- C:\WINDOWS\system32\CatRoot2
2010-08-22 13:37:08 ----D---- C:\Norman_VirusControl
2010-08-21 22:19:07 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-08-21 17:28:26 ----SD---- C:\WINDOWS\Tasks
2010-08-20 19:39:35 ----D---- C:\WINDOWS\system32\Filt
2010-08-20 12:58:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-08-19 01:14:19 ----A---- C:\WINDOWS\ULEAD32.INI
2010-08-19 00:53:59 ----D---- C:\WINDOWS\system32
2010-08-18 19:11:33 ----D---- C:\Dokumente und Einstellungen
2010-08-18 14:20:18 ----D---- C:\WINDOWS\system32\Restore
2010-08-17 20:48:47 ----SHD---- C:\WINDOWS\Installer
2010-08-17 20:48:28 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-08-17 20:48:12 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2010-08-16 17:42:05 ----HD---- C:\WINDOWS\inf
2010-08-16 14:16:00 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-08-15 14:39:22 ----D---- C:\Temp
2010-08-13 23:44:20 ----RSD---- C:\WINDOWS\assembly
2010-08-13 23:39:56 ----RSD---- C:\WINDOWS\Fonts
2010-08-13 20:21:40 ----D---- C:\Programme\OpenOffice.org 2.4
2010-08-13 14:49:34 ----D---- C:\Software_Multimedia
2010-08-13 14:49:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-08-13 13:57:00 ----D---- C:\Programme\FreePDF_XP
2010-08-13 04:17:50 ----D---- C:\WINDOWS\Microsoft.NET
2010-08-13 04:02:01 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-08-13 03:38:51 ----HD---- C:\WINDOWS\$hf_mig$
2010-08-13 01:14:48 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-08-13 01:12:55 ----D---- C:\WINDOWS\WinSxS
2010-08-13 00:57:01 ----D---- C:\Programme\Internet Explorer
2010-08-13 00:55:56 ----D---- C:\WINDOWS\ie8updates
2010-08-12 20:05:51 ----D---- C:\Programme\Opera10
2010-08-12 19:12:20 ----D---- C:\Programme\Gemeinsame Dateien\Java
2010-08-12 19:04:02 ----D---- C:\Programme\Java
2010-08-11 21:38:40 ----D---- C:\Programme\Movie Maker
2010-08-11 12:52:29 ----D---- C:\Programme\a2-free
2010-08-11 12:50:24 ----D---- C:\Programme\Bryce5
2010-08-06 12:51:37 ----D---- C:\WINDOWS\system32\drivers\etc
2010-08-03 20:09:31 ----A---- C:\WINDOWS\system32\MRT.exe
2010-08-01 18:16:50 ----D---- C:\Programme\Revo Uninstaller
2010-08-01 14:02:13 ----D---- C:\Programme\jv16 PowerTools
2010-07-27 08:29:42 ----A---- C:\WINDOWS\system32\shell32.dll
2010-07-25 19:44:19 ----D---- C:\Programme\Mozilla Thunderbird
2010-07-25 18:09:52 ----D---- C:\Programme\Mozilla Firefox
2010-07-25 14:05:34 ----D---- C:\Plone
 
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 
R0 AVG Anti-Rootkit;AVG Anti-Rootkit; C:\WINDOWS\System32\DRIVERS\avgarkt.sys [2007-01-31 5632]
R0 iomdisk;Iomega Devices Disk Filter Services; C:\WINDOWS\System32\DRIVERS\iomdisk.sys [2002-07-31 30258]
R0 Lbd;Lbd; C:\WINDOWS\system32\DRIVERS\Lbd.sys [2010-06-04 64288]
R0 OODrvled;OODrvled; C:\WINDOWS\system32\DRIVERS\OODrvled.sys [2004-09-22 15488]
R0 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2001-03-14 13644]
R0 ppa3;Herkömmlicher Iomega Parallelanschluss-Filtertreiber; C:\WINDOWS\System32\DRIVERS\ppa3.sys
 
[2008-04-13 17664]
R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [2007-03-08 43528]
R0 snapman;Acronis Snapshots Manager; C:\WINDOWS\system32\DRIVERS\snapman.sys [2007-08-26 120992]
R0 timounter;Acronis True Image Backup Archive Explorer; C:\WINDOWS\system32\DRIVERS\timntr.sys
 
[2007-08-26 392320]
R0 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\viaagp.sys [2008-04-13 42240]
R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2004-05-30 82380]
R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 AvgArCln;Avg Anti-Rootkit Clean Driver; C:\WINDOWS\System32\DRIVERS\AvgArCln.sys [2007-01-18 3968]
R1 GhPciScan;GhostPciScanner; \??\C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys []
R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2005-07-25 29696]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2005-07-25 28672]
R1 NGS;Norman General Security Driver; \??\c:\norman_viruscontrol\ngs\bin\ngs.sys []
R1 NPROSEC;Norman Security driver; \??\C:\Norman_VirusControl\Ngs\Bin\nprosec.sys []
R1 SandBox;SandBox; C:\WINDOWS\system32\DRIVERS\SandBox.sys [2009-08-28 714112]
R1 SBRE;SBRE; \??\C:\WINDOWS\system32\drivers\SBREdrv.sys []
R2 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [2002-08-14 17005]
R2 DzlDvc2p;Dazzle DVC II PCI Device; C:\WINDOWS\System32\DRIVERS\DzlDvc2p.sys [2001-08-24 117860]
R2 Ndiskio;Ndiskio; \??\c:\norman_viruscontrol\nse\bin\ndiskio.sys []
R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2007-08-26 32768]
R2 V7;V7; C:\WINDOWS\system32\drivers\V7.sys [2000-03-10 7196]
R3 afw;Agnitum firewall driver; C:\WINDOWS\system32\DRIVERS\afw.sys [2009-02-18 31128]
R3 afwcore;afwcore; C:\WINDOWS\system32\drivers\afwcore.sys [2009-09-14 256792]
R3 ALCXWDM;Service for Avance AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2001-11-01
 
243964]
R3 ASWFilt;ASWFilt; C:\WINDOWS\system32\Filt\ASWFilt.dll [2009-08-28 33920]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17
 
2944]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-10-06 1550043]
R3 NvcMFlt;NvcMFlt; C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2009-10-08 21832]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2001-08-18 5888]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter;
 
C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller;
 
C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2005-07-25 101504]
S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter; \??\C:\WINDOWS\system32\drivers\NSDriver.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 CXLWIRE;USB Hybrid Video Capture (DVB-T/PAL); C:\WINDOWS\system32\drivers\ctxusbtv.sys [2005-04-14
 
85120]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [2002-11-27 50960]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys
 
[2002-11-27 16080]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys
 
[2002-11-27 22384]
S3 Lavasoft Kernexplorer;Lavasoft helper driver; \??\C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys []
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys
 
[2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 nv4;nv4; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-10-06 1550043]
S3 nvcfsr;nvcfsr; \??\C:\NORMAN_VIRUSCONTROL\Nvc\BIN\nvcfsr.sys []
S3 nvcoafl51;nvcoafl51; \??\C:\NORMAN_VIRUSCONTROL\nvc\BIN\nvcoafl51.sys []
S3 nvcoaft51;nvcoaft51; \??\C:\NORMAN_VIRUSCONTROL\nvc\BIN\nvcoaft51.sys []
S3 nvcoarc51;nvcoarc51; \??\C:\NORMAN_VIRUSCONTROL\nvc\BIN\nvcoarc51.sys []
S3 SANDRA;SANDRA; \??\C:\Software\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SPR132;SPRx32 Serial Smart Card Reader; C:\WINDOWS\System32\DRIVERS\SPR132.sys [2002-12-23 181908]
S3 SPRx32 USB Smart Card Reader;SPRx32 USB Smart Card Reader; C:\WINDOWS\System32\DRIVERS\spr332.sys
 
[2003-12-23 47132]
S3 streamip;BDA-IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys); C:\WINDOWS\System32\Drivers\TTCinergyT2.sys
 
[2004-09-29 16640]
S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\System32\DRIVERS\TVICHW32.SYS []
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver;
 
C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector;
 
C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2004-01-16 17408]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\System32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\System32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\sisagp.sys [2008-04-13 40960]
 
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 
R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
 
[2007-05-04 411168]
R2 acssrv;Agnitum Client Security Service; C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe [2009-09-23 1338560]
R2 eLoggerSvc6;Norman eLogger service 6; C:\Norman_VirusControl\Npm\bin\ELOGSVC.EXE [2009-10-07 152904]
R2 Iomega App Services;Iomega App Services; C:\PROGRA~1\Iomega\System32\AppServices.exe [2002-07-31 73728]
R2 Norman ZANDA;Norman ZANDA; C:\Norman_VirusControl\Npm\Bin\Zanda.exe [2009-10-07 411016]
R2 NPROSECSVC;Norman Security service; C:\Norman_VirusControl\Ngs\Bin\Nprosec.exe [2009-10-07 124232]
R2 NVOY;Norman Resource Provider; C:\Norman_VirusControl\npm\bin\nvoy.exe [2009-10-07 128328]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2003-10-06 81920]
R3 Norman NJeeves;Norman NJeeves; C:\Norman_VirusControl\Npm\Bin\Njeeves.exe [2009-10-07 276712]
R3 nsesvc;Norman Scanner Engine Service; C:\Norman_VirusControl\nse\bin\NSESVC.EXE [2010-06-14 282624]
R3 nvcoas;Norman Virus Control on-access component; C:\Norman_VirusControl\Nvc\bin\nvcoas.exe [2009-10-07
 
197960]
R3 Scheduler;Norman Scheduler Service; C:\Norman_VirusControl\Npm\Bin\scheduler.exe [2009-10-07 132424]
S2 CLCapSvc;CyberLink Background Capture Service (CBCS);
 
C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2005-04-20 221257]
S2 CLSched;CyberLink Task Scheduler (CTS);
 
C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLSched.exe [2005-04-20 110663]
S2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\CyberLink\Shared
 
Files\CLML_NTService\CLMLServer.exe [2005-04-20 61440]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S2 GhostStartService;GhostStartService; C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE [2002-08-14 200704]
S2 InCDsrv;InCD Helper; C:\Programme\Ahead\InCD\InCDsrv.exe [2005-07-25 876032]
S2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-07-17 153376]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
 
[2010-08-11 1355416]
S2 OOD2000;O&O Defrag 2000; C:\WINDOWS\system32\OOD2000.exe [2001-04-06 238080]
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2007-02-21 73728]
S2 Zope_29920312;Zope instance at C:\Plone\Data; C:\Plone\Python\PythonService.exe [2008-07-27 10240]
S2 Zope_-722186511;Zope instance at C:\Plone\parts\instance; C:\Plone\python\PythonService.exe [2008-07-27
 
10240]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
 
[2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86;
 
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication
 
Foundation\infocard.exe [2008-07-29 881664]
S3 LogoMedia TranslateDotNet Server;LogoMedia TranslateDotNet Server; C:\Software\Power
 
Translator\LogoMedia TranslateDotNet Server.exe [2003-09-26 626688]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service; C:\Software\SiSoftware Sandra Lite
 
2009.SP2\RpcAgentSrv.exe [2008-12-11 98488]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media
 
Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe
 
[2008-04-14 14336]
S3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows
 
Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
 
-----------------EOF-----------------
--- --- ---



2. info.txt
===========

info.txtRSIT Logfile:
Code:
logfile of random's system information tool 1.08 2010-08-22 19:08:02
 
======Uninstall list======
 
@promt Office 7 EGGE Special Edition-->MsiExec.exe /I{23F5601D-CC32-42D3-AE8A-785B96330EBC}
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->C:\WINDOWS\UNNVEContent.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.62-->"C:\Software\Packer\7-Zip\Uninstall.exe"
a² free 1.1-->C:\Programme\a2_free\unins000.exe
Acrobat.com-->MsiExec.exe /X{287ECFA4-719A-2143-A09B-D6A12DE54E40}
Active Disk-->C:\WINDOWS\unvise32.exe C:\Programme\Iomega\AutoDisk\uninstal.log
Active Security Monitor 2.0.0.18-->"C:\Software\AOL_Active Security Monitor\unins000.exe"
ActiveState ActivePython 2.5.2.2-->MsiExec.exe /I{A2E24BD9-085B-410F-AAD0-5EB5FA5D73D2}
Ad-Aware-->"C:\Dokumente und Einstellungen\All
 
Users\Anwendungsdaten\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe" REMOVE=TRUE
 
MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All
 
Users\Anwendungsdaten\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
Adobe AIR-->c:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe
 
-arp:uninstall
Adobe AIR-->MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe -maintain
 
activex
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_Plugin.exe -maintain plugin
Adobe Reader 9.3.3 MUI-->MsiExec.exe /I{AC76BA86-7AD7-FFFF-7B44-A91000000001}
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
AFPL Ghostscript 8.51-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\gs8.51\uninstal.txt"
AFPL Ghostscript Fonts-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\fonts\uninstal.txt"
Agnitum Outpost Firewall 1.0 SDK-->C:\PROGRA~1\Agnitum\OUTPOS~1.0SD\UNWISE.EXE
 
C:\PROGRA~1\Agnitum\OUTPOS~1.0SD\INSTALL.LOG
Agnitum Outpost Firewall Pro-->C:\PROGRA~1\Agnitum\OUTPOS~1.0\uninst.exe
Apple Application Support-->MsiExec.exe /I{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Arachnophilia 5.3-->C:\Software\Arachnophilia\unins000.exe
a-squared HiJackFree 3.0-->"C:\Programme\a2-free\unins000.exe"
AusLogics Disk Defrag-->"C:\Software\Auslogics\AusLogics Disk Defrag\unins000.exe"
authorPOINT Lite-->MsiExec.exe /I{53239B61-ACEE-47A9-8FB9-CE24DCDA1605}
AVG Anti-Rootkit Free-->C:\Software\AVG Anti-Rootkit Free\Uninstall.exe
Bernd Ott's Software-UpToDate-->MsiExec.exe /X{24575C8E-0CDB-493D-9BA3-1BCBA955EBC7}
Bryce 5.5c-->C:\WINDOWS\unvise32.exe C:\Programme\DAZ\Bryce 5.5\Bryce Uninstall.log
Bryce Lightning 2.0a-->C:\WINDOWS\unvise32.exe C:\Programme\DAZ\Bryce Lightning 2.0\Bryce Lightning
 
Uninstall.log
CCleaner-->"C:\Software\CCleaner\uninst.exe"
CDex - Open Source Digital Audio CD Extractor-->C:\Software_Multimedia\CDex\uninstall.exe
CHIP System-Check-Tool 1.1.0.1-->"C:\Software\CHIP System-Check-Tool\unins000.exe"
CHIPDRIVE Geldkarten-Manager 1.63-->C:\Software\CHIPDRIVE\Geldkarten-Manager\unins000.exe
CHIPDRIVE SIM Manager Pro v3.3-->"C:\Software\CHIPDRIVE\SIM Manager Pro\unins000.exe"
CHIPDRIVE Smartcard Viewer v1.07-->C:\Software\CHIPDRIVE\Tools\SCViewer\unins000.exe
Cinergy*Digital 2-->RunDll32
 
C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{F67BF1DF-8461-46DA-BAF2-DAE86548C547}\setup.exe"
 
-l0x7
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Corel SVG Viewer-->MsiExec.exe /X{E32D1370-414D-45CC-950A-7320BA6022C5}
CorelDRAW Graphics Suite 12-->MsiExec.exe /I{505AFDC0-5E72-4928-8368-5DEA385E3647}
CUT&GLUE-2000-->C:\WINDOWS\st6unst.exe -n "C:\Software\CutGlue-200\ST6UNST.LOG"
Dawn-->MsiExec.exe /I{459E0590-ECD4-490E-9E52-3EF1F1782225}
DAZ|Studio 1.2.0.1-->C:\WINDOWS\unvise32.exe C:\Programme\DAZ\Studio\DAZ Studio Uninstall.log
DivX Codec-->C:\WINDOWS\unvise32.exe c:\software_multimedia\divx_v5\DivX Bundle.log
DivX Player 2.1-->C:\WINDOWS\unvise32.exe c:\software_multimedia\divx_v5\divx player 2.0 alpha\DivX Player
 
2.1\uninstal.log
Dr. Hardware 2003 4.0.0d-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\D2003GER.INF,
 
DefaultUninstall.ntx86
DVDExpress-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Dazzle\Mediamatics\DVDExpress\Uninst.isu
DVDit! LE-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{3B24D221-448E-11D4-A499-0050DA6E827C}\Setup.exe"
 
-L0x7
FeedReader-->"C:\Software\FeedReader\unins000.exe"
FileZilla (remove only)-->"C:\Programme\FileZilla\uninstall.exe"
FileZilla Client 3.3.3-->C:\Programme\FileZilla\uninstall.exe
Filzip 3.03-->"C:\Software\Packer\Filzip\unins004.exe"
FoneSync-->C:\WINDOWS\IsUninst.exe -fC:\Programme\FoneSync\Uninst.isu
 
-c"C:\Programme\FoneSync\UninstSupport.dll"
Forté Agent-->C:\FORTEA~1\UNWISE.EXE C:\FORTEA~1\INSTALL.LOG "Uninstall Forté Agent"
FreePDF XP (Remove only)-->C:\Programme\FreePDF_XP\fpsetup.exe /r
GetRight-->C:\Software\GetRight\GETRIGHT.EXE /UNINSTALL
GSview 4.7-->c:\programme\gs\Ghostgum\gsview\uninstgs.exe "c:\programme\gs\Ghostgum\gsview\uninstal.txt"
GTK+ 2.6.9 runtime environment-->"C:\Software\gimp2.0\GTK2.0\unins000.exe"
HARDiNFO Professional-->"C:\Dokumente und Einstellungen\All
 
Users\Anwendungsdaten\{1D120369-6CAA-496A-8FAA-4023E5437462}\HARDiNFO Professional.exe" REMOVE=TRUE
 
MODIFY=FALSE
HARDiNFO Professional-->C:\Dokumente und Einstellungen\All
 
Users\Anwendungsdaten\{1D120369-6CAA-496A-8FAA-4023E5437462}\HARDiNFO Professional.exe
HijackThis 1.99.1-->C:\Software\HijackThis\HijackThis.exe /uninstall
Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->C:\WINDOWS\system32\msiexec.exe /promptrestart
 
/uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package
 
{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package
 
{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+
 
REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK
 
(KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7
 
(KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB979306)-->"C:\WINDOWS\$NtUninstallKB979306$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB981793)-->"C:\WINDOWS\$NtUninstallKB981793$\spuninst\spuninst.exe"
Hotspot Shield 1.04-->C:\Software\Hotspot Shield\Uninstall.exe
HP Foto- und Bildbearbeitung 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series-->C:\Programme\Hewlett-Packard\Digital
 
Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber -->MsiExec.exe
 
/X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Print Diagnostic Utility-->MsiExec.exe /I{E14B8A08-42B3-4676-9E91-1D39F8158DA1}
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
HP Speicher-Disc-->MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
Internet Explorer Developer Toolbar-->MsiExec.exe /I{21480284-6396-431C-9114-B4B38C9FA67F}
Iomega Automatic Backup-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
 
/M{42ABF3F2-2C5E-43FA-BBFF-58E4295F23CA}
Iomega Backup 4.4-->C:\WINDOWS\UNIN0407.EXE -f"C:\Programme\Iomega\Iomega Backup\DeIsL1.isu"
 
-c"C:\Programme\Iomega\Iomega Backup\uninst.dll"
IomegaWare-->C:\WINDOWS\unvise32.exe C:\Programme\Iomega\uninstal.log
IrfanView (remove only)-->C:\Software\Iview\iv_uninstall.exe
IZArc 3.4.1.6-->C:\Software\Packer\IZArc\unins000.exe
J2SE Runtime Environment 5.0 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040}
Jarte-->C:\Software\Jarte_Texteditor\unins000.exe
Java 2 Runtime Environment, SE v1.4.2_05-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
Java Web Start-->"C:\Programme\Java Web Start\uninst-javaws.exe"
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
JavaScriptDesigner SE Delphi-->C:\Software\JavaScriptDesigner\unins000.exe
JENOPTIK JD4100z3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\JENOPTIK Camera Europe GmbH\JENOPTIK
 
JD4100z3\Uninst.isu"
jv16 PowerTools 2008-->"C:\Programme\jv16 PowerTools 2008\unins000.exe"
jv16 PowerTools 2010-->"C:\Programme\jv16 PowerTools\Uninstall\uninstall.exe" "/U:C:\Programme\jv16
 
PowerTools\Uninstall\uninstall.xml"
Karen's WhoIs-->C:\Programme\Karens_PowerTools\WhoIs\uninst.exe
L&H TTS3000 Deutsch-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSGED.inf, Uninstall
Language Engineering Power Translator-->MsiExec.exe /I{66EDF2E5-6C37-4939-A837-FBF2C52F91CD}
Lavasoft Reghance 2.1-->C:\Software\LAVASO~1\UNWISE.EXE C:\Software\LAVASO~1\INSTALL.LOG
Lernout & Hauspie TruVoice American English TTS Engine-->RunDll32 advpack.dll,LaunchINFSection
 
C:\WINDOWS\INF\tv_enua.inf, Uninstall
LiveReg (Symantec Corporation)-->C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VcSetup.exe
 
/REMOVE
LiveUpdate 1.80 (Symantec Corporation)-->C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
Macromedia Dreamweaver MX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{8B4AB829-DFD3-436D-B808-D9733D76C590}\Setup.exe"
 
-l0x7 mmUninstall
Macromedia Extension Manager-->RunDll32
 
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield
 
Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x7 mmUninstall
Malwarebytes' Anti-Malware-->"C:\Software\Malwarebytes_Anti-Malware\unins000.exe"
MediaShow 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{D5A9B7C0-8751-11D8-9D75-000129760D75}\setup.exe"
 
-uninstall
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe
 
/I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe
 
/I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack - DEU-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET
 
Framework 3.5 Language Pack - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack - deu-->MsiExec.exe /I{1545207E-C6F3-31D7-9918-BDBB65075FBF}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5
 
SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft AutoRoute 2001-->MsiExec.exe /I{4D719053-5593-11D3-8F25-0060085C1758}
Microsoft Compression Client Pack 1.0 for Windows
 
XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft DirectX Transform optional components-->RUNDLL32.EXE ADVPACK.DLL,LaunchINFSection
 
C:\WINDOWS\INF\DXTXTRA.INF,UNINSTALL.NT,12
Microsoft Internationalized Domain Names Mitigation
 
APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel
 
APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Converter Pack-->MsiExec.exe /X{6EECB283-E65F-40EF-86D3-D51BF02A8D43}
Microsoft Office PowerPoint Viewer 2003-->MsiExec.exe /X{90AF0407-6000-11D3-8CFE-0150048383C9}
Microsoft Picture It! Foto 2001-->MsiExec.exe /I{D28FDA7D-15C6-48A2-9868-6BCB28BE6254}
Microsoft User-Mode Driver Framework Feature Pack
 
1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe
 
/X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Word 2000 SR-1-->MsiExec.exe /I{00170407-78E1-11D2-B60F-006097C998E7}
Microsoft Word in Works Suite-Add-In-->MsiExec.exe /I{C5DB5FBF-F037-4BEE-A110-257E89EDD8BB}
Microsoft Works 2001-Setup-Start-->C:\Programme\Microsoft Works Suite 2001\Setup\Launcher.exe D:\
Microsoft Works 6.0-->MsiExec.exe /I{D0AC6844-79D4-11D4-AFEE-00C04F443448}
Microsoft XML Parser und SDK-->MsiExec.exe /I{3E908702-AF35-4611-9518-955DA24B7E07}
MovieStar-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Dazzle\MovieStar\MovieStar.isu
Mozilla Firefox (3.6.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (3.1.1)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Music-DVD on CD and DVD-->MsiExec.exe /I{8AB6D950-AF93-4FBB-9599-A7F09BD1EE6E}
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
Nero BurnRights (Ahead Software)-->C:\WINDOWS\UNNeroBurnRights.exe /UNINSTALL
Nero Suite-->C:\Programme\Gemeinsame Dateien\Ahead\Uninstall\setup.exe /uninstall ExtraUninstallID=""
Netscape Browser (remove only)-->"C:\Programme\Netscape\NSUninst.exe"
Norton Ghost-->MsiExec.exe /I{6975E810-C92F-45F0-0BFD-187B312F10E8}
NVC 5.20-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup
 
"C:\Norman_VirusControl\NVC\BIN\DelNVC5.exe"
NVIDIA Display Driver-->C:\WINDOWS\System32\nvudisp.exe Uninstall C:\WINDOWS\System32\nvdisp.nvu,NVIDIA
 
Display Driver
NVIDIA Windows 2000/XP Display Drivers-->rundll32.exe C:\WINDOWS\System32\nvinstnt.dll,NvUninstallNT4
 
nv4_disp.inf
O&O Defrag 2000 Freeware Edition-->RunDll32
 
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield
 
Installation Information\{E86E5246-AA7E-11D4-88C9-00105ADBE398}\Setup.exe"
O&O DriveLED-->MsiExec.exe /I{53480150-81CB-4A86-B378-86B6F08AF80B}
OmniPage SE-->MsiExec.exe /I{6249C22D-E6A8-407B-BA8B-40298848ED94}
OpenOffice.org 3.2-->MsiExec.exe /I{8D1E61D1-1395-4E97-997F-D002DB3A5074}
Opera 10.61-->MsiExec.exe /X{70858C67-8761-4444-895A-0A8B2E9E144E}
Outpost Firewall Pro 2009-->"C:\Programme\Agnitum\Outpost Firewall Pro\unins000.exe"
Packard Bell Data Secure-->C:\Programme\Packard Bell Data Secure\Uninstall.exe
Palm Reader-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{ED8BB1CA-535A-408D-85C9-ED1986D2B85E}\setup.exe"
PC Inspector File Recovery-->RunDll32
 
C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe"
 
-l0x7
PE Builder v3.1.3-->c:\programme\pebuilder313\unins000.exe
Pegasus Mail-->C:\pmail\DeSetup.exe C:\pmail
PhotoNow! 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.exe"
 
-uninstall
Plone (version 3.2.2) (build 26444)-->"C:\Plone\unins000.exe"
PowerCinema 4.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe"
 
-uninstall
PowerDirector-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe"
 
-uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe"
 
-uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe"
 
-uninstall
PSPad editor-->"C:\Software\PSPad editor\Uninst\unins000.exe"
QuickTime-->MsiExec.exe /I{EB900AF8-CC61-4E15-871B-98D1EA3E8025}
RedMon - Redirection Port Monitor-->C:\WINDOWS\system32\unredmon.exe
Revo Uninstaller 1.89-->C:\Programme\Revo Uninstaller\uninst.exe
Seagate*DiscWizard-->MsiExec.exe /X{81A60A13-224D-4637-8203-3EAC03B121A4}
SeaTools for Windows-->MsiExec.exe /I{98613C99-1399-416C-A07C-1EE1C585D872}
Security Task Manager 1.7h-->C:\Programme\Security Task Manager\Uninstal.exe "C:\Dokumente und
 
Einstellungen\All Users\Startmenü\Programme\Security Task Manager"
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE
 
C:\WINDOWS\system32\Macromed\SHOCKW~1\INSTALL.LOG
Sicherheitsupdate für Step by Step Interactive Training
 
(KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training
 
(KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7
 
(KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB2183461)-->"C:\WINDOWS\ie8updates\KB2183461-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB978207)-->"C:\WINDOWS\ie8updates\KB978207-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB981332)-->"C:\WINDOWS\ie8updates\KB981332-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8
 
(KB982381)-->"C:\WINDOWS\ie8updates\KB982381-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player
 
(KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player
 
(KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player
 
(KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player
 
(KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player
 
(KB978695)-->"C:\WINDOWS\$NtUninstallKB978695_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10
 
(KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10
 
(KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11
 
(KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11
 
(KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB2079403)-->"C:\WINDOWS\$NtUninstallKB2079403$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB2115168)-->"C:\WINDOWS\$NtUninstallKB2115168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB2160329)-->"C:\WINDOWS\$NtUninstallKB2160329$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB2229593)-->"C:\WINDOWS\$NtUninstallKB2229593$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB2286198)-->"C:\WINDOWS\$NtUninstallKB2286198$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP
 
(KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971468)-->"C:\WINDOWS\$NtUninstallKB971468$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975560)-->"C:\WINDOWS\$NtUninstallKB975560$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975561)-->"C:\WINDOWS\$NtUninstallKB975561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975562)-->"C:\WINDOWS\$NtUninstallKB975562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975713)-->"C:\WINDOWS\$NtUninstallKB975713$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP
 
(KB977165-v2)-->"C:\WINDOWS\$NtUninstallKB977165-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB977816)-->"C:\WINDOWS\$NtUninstallKB977816$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB977914)-->"C:\WINDOWS\$NtUninstallKB977914$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978037)-->"C:\WINDOWS\$NtUninstallKB978037$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978251)-->"C:\WINDOWS\$NtUninstallKB978251$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978262)-->"C:\WINDOWS\$NtUninstallKB978262$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978338)-->"C:\WINDOWS\$NtUninstallKB978338$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978542)-->"C:\WINDOWS\$NtUninstallKB978542$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978601)-->"C:\WINDOWS\$NtUninstallKB978601$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978706)-->"C:\WINDOWS\$NtUninstallKB978706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979309)-->"C:\WINDOWS\$NtUninstallKB979309$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979482)-->"C:\WINDOWS\$NtUninstallKB979482$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979559)-->"C:\WINDOWS\$NtUninstallKB979559$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB979683)-->"C:\WINDOWS\$NtUninstallKB979683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980195)-->"C:\WINDOWS\$NtUninstallKB980195$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980218)-->"C:\WINDOWS\$NtUninstallKB980218$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980232)-->"C:\WINDOWS\$NtUninstallKB980232$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB980436)-->"C:\WINDOWS\$NtUninstallKB980436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB981852)-->"C:\WINDOWS\$NtUninstallKB981852$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB981997)-->"C:\WINDOWS\$NtUninstallKB981997$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB982214)-->"C:\WINDOWS\$NtUninstallKB982214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB982665)-->"C:\WINDOWS\$NtUninstallKB982665$\spuninst\spuninst.exe"
SiSoftware Sandra Lite 2009.SP2-->"C:\Software\SiSoftware Sandra Lite 2009.SP2\unins000.exe"
SmartFTP-->MsiExec.exe /I{11C762F9-95EA-486A-A8E7-683A50C231C1}
SmartSound For Multimedia-->C:\WINDOWS\uninst.exe -f"C:\Programme\Dazzle\SmartSound For
 
Multimedia\DeIsL1.isu" -c"C:\Programme\Dazzle\SmartSound For Multimedia\_ISREG32.DLL"
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
SPG-Verein-->C:\WINDOWS\unin0407.exe -fc:\naspa_daten\v2000-w\DeIsL2.isu
SPRx32 CT-API und PC/SC Treiber Installation-->RunDll32
 
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield
 
Installation Information\{3B6A3576-1844-4C99-AB0E-FD06D75DC1F0}\SETUP.EXE" -l0x7
Spybot - Search & Destroy 1.5.2.20-->"C:\WINDOWS\unins000.exe"
Spybot - Search & Destroy-->"C:\Software\SpyBot_search_and_destroy\unins001.exe"
SUPER © Version 2010.bld.38 (May 2, 2010)-->C:\SOFTWA~1\SUPER\Setup.exe /remove /q0
SuperHTML 6.0 Internet Professionell Edition-->MsiExec.exe /X{C149FA39-3C50-4F5C-B633-7D7C3B01F15E}
The GIMP 2.2.9-->"C:\Software\gimp2.0\unins000.exe"
TopStyle Lite (Version 3.0)-->C:\WINDOWS\unlite3.exe "C:\Programme\TopStyle3"
TreeSize Professional 2.43-->C:\WINDOWS\unin0407.exe -fC:\Programme\TreeSize_Pro_2.43\DeIsL1.isu
 
-cC:\Programme\TreeSize_Pro_2.43\_ISREG32.DLL
TV-Browser 2.1-->C:\Software\TV-Browser\Uninstall.exe
Ulead COOL 3D-->C:\WINDOWS\uninst.exe -f"c:\software\ulead photoimpact\DeIsL1.isu" -c"c:\software\ulead
 
photoimpact\_ISREG32.DLL"
Ulead GIF Animator 1.5 Full Version-->C:\WINDOWS\ULEAD.DAT\Uninst.exe /f:GA15F.INF
Ulead PhotoImpact 3.02-->C:\WINDOWS\ULEAD.DAT\uninst.exe /f:PI32G.INF
Ulead PhotoImpact GIF/JPEG SmartSaver 1.2 Full Version-->C:\WINDOWS\ULEAD.DAT\Setup.exe /f:USS12f.INF
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package
 
{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+
 
REBOOTPROMPT=""
Update für Windows Internet Explorer 8
 
(KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8
 
(KB976662)-->"C:\WINDOWS\ie8updates\KB976662-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8
 
(KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8
 
(KB980182)-->"C:\WINDOWS\ie8updates\KB980182-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Varo Vision VaroDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup
 
"C:\Programme\InstallShield Installation Information\{A5647000-AC49-11D4-8A28-00A02490CB9D}\setup.exe"
 
-uninst
VEREIN 2000-->C:\WINDOWS\unin0407.exe -fc:\naspa_daten\v2000-w\DeIsL1.isu
 
-cc:\naspa_daten\v2000-w\_ISREG32.DLL
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x
 
{F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
VLC media player 1.1.2-->C:\Software_Multimedia\VLC\uninstall.exe
Wichtiges Update für Windows Media Player 11
 
(KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Winamp-->"C:\Software_Multimedia\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety
 
Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinPatrol 2007 Restore/Remove First-->C:\PROGRA~1\WINPAT~1\WinPatrolEx.exe -remove
WinPatrol 2007 Step 2-->MsiExec.exe /X{736CE9DD-F589-485B-ACFF-78C235A57066}
WinPatrol-->C:\PROGRA~1\BILLPS~1\WINPAT~1\Setup.exe /remove /q0
WinPatrol-->MsiExec.exe /X{8E0D233D-8B06-47A1-BA22-3A767CCD69E3}
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log
XAMPP 1.5.3a-->"C:\apachefriends\xampp\xampp\uninstall.exe"
XML Paper Specification Shared Components Language Pack
 
1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XnView 1.97.4-->"C:\Software\XnView\unins000.exe"
xp-AntiSpy 3.96-4-->C:\Software\xp-AntiSpy\Uninstall.exe
 
======Hosts File======
 
127.0.0.1    quatschi_dummy.com
127.0.0.1    www.007guard.com
127.0.0.1    007guard.com
127.0.0.1    008i.com
127.0.0.1    www.008k.com
127.0.0.1    008k.com
127.0.0.1    www.00hq.com
127.0.0.1    00hq.com
127.0.0.1    010402.com
127.0.0.1    www.032439.com
 
======Security center information======
 
AV: Lavasoft Ad-Watch Live! Virenschutz (disabled)
AV: Norman Security Suite (disabled)
FW: Outpost Firewall Pro
 
======System event log======
 
Computer Name: <computername>
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Record Number: 105763
Source Name: Disk
Time Written: 20100805152452.000000+120
Event Type: Fehler
User:
 
Computer Name: <computername>
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Record Number: 105762
Source Name: Disk
Time Written: 20100805151139.000000+120
Event Type: Fehler
User:
 
Computer Name: <computername>
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Record Number: 105761
Source Name: Disk
Time Written: 20100805151132.000000+120
Event Type: Fehler
User:
 
Computer Name: <computername>
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Record Number: 105760
Source Name: Disk
Time Written: 20100805151126.000000+120
Event Type: Fehler
User:
 
Computer Name: <computername>
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Record Number: 105759
Source Name: Disk
Time Written: 20100805151120.000000+120
Event Type: Fehler
User:
 
=====Application event log=====
 
Computer Name: <computername>
Event Code: 255
Message: Zope_-722186511 (Zope instance at C:\Plone\parts\instance): created process
 
Record Number: 12528
Source Name: Zope
Time Written: 20100815142329.000000+120
Event Type: Informationen
User:
 
Computer Name: <computername>
Event Code: 255
Message: Zope_-722186511 (Zope instance at C:\Plone\parts\instance): sleep 40 to avoid rapid restarts
 
Record Number: 12527
Source Name: Zope
Time Written: 20100815142249.000000+120
Event Type: Warnung
User:
 
Computer Name: <computername>
Event Code: 255
Message: Zope_-722186511 (Zope instance at C:\Plone\parts\instance): process terminated with exit code
 
1.
Traceback (most recent call last):
File "C:\Plone\parts\instance\bin\servicewrapper.py", line 103, in ?
run.run()
File "c:\plone\zope2\lib\python\Zope2\Startup\run.py", line 19, in run
opts = _setconfig()
File "c:\plone\zope2\lib\python\Zope2\Startup\run.py", line 48, in _setconfig
opts.realize(doc="Sorry, no option docs yet.")
File "c:\plone\zope2\lib\python\zdaemon\zdoptions.py", line 273, in realize
self.load_schema()
File "c:\plone\zope2\lib\python\zdaemon\zdoptions.py", line 321, in load_schema
self.schema = ZConfig.loadSchema(self.schemafile)
File "c:\plone\zope2\lib\python\ZConfig\loader.py", line 31, in loadSchema
return SchemaLoader().loadURL(url)
File "c:\plone\zope2\lib\python\ZConfig\loader.py", line 65, in loadURL
return self.loadResource(r)
File "c:\plone\zope2\lib\python\ZConfig\loader.py", line 159, in loadResource
schema = ZConfig.schema.parseResource(resource, self)
File "c:\plone\zope2\lib\python\ZConfig\schema.py", line 27, in parseResource
xml.sax.parse(resource.file, parser)
File "C:\Plone\python\lib\site-packages\_xmlplus\sax\__init__.py", line 31, in parse
parser.parse(filename_or_stream)
File "C:\Plone\python\lib\site-packages\_xmlplus\sax\expatreader.py", line 109, in parse
xmlreader.IncrementalParser.parse(self, source)
File "C:\Plone\python\lib\site-packages\_xmlplus\sax\xmlreader.py", line 123, in parse
self.feed(buffer)
File "C:\Plone\python\lib\site-packages\_xmlplus\sax\expatreader.py", line 216, in feed
self._parser.Parse(data, isFinal)
File "C:\Plone\python\lib\site-packages\_xmlplus\sax\expatreader.py", line 312, in start_element
self._cont_handler.startElement(name, AttributesImpl(attrs))
File "c:\plone\zope2\lib\python\ZConfig\schema.py", line 103, in startElement
getattr(self, "start_" + name)(attrs)
File "c:\plone\zope2\lib\python\ZConfig\schema.py", line 306, in start_import
src = self._loader.schemaComponentSource(pkg, file)
File "c:\plone\zope2\lib\python\ZConfig\loader.py", line 176, in schemaComponentSource
__import__(package)
File "c:\plone\zope2\lib\python\ZServer\__init__.py", line 41, in ?
from HTTPServer import zhttp_server, zhttp_handler
File "c:\plone\zope2\lib\python\ZServer\HTTPServer.py", line 45, in ?
from HTTPResponse import make_response
File "c:\plone\zope2\lib\python\ZServer\HTTPResponse.py", line 26, in ?
from PubCore.ZEvent import Wakeup
File "c:\plone\zope2\lib\python\ZServer\PubCore\ZEvent.py", line 24, in ?
the_trigger=simple_trigger()
File "c:\plone\zope2\lib\python\ZServer\medusa\thread\select_trigger.py", line 135, in __init__
w.connect(connect_address)
File "<string>", line 1, in connect
socket.error: (10022, 'Invalid argument')
 
 
Record Number: 12526
Source Name: Zope
Time Written: 20100815142249.000000+120
Event Type: Warnung
User:
 
Computer Name: <computername>
Event Code: 255
Message: Zope_-722186511 (Zope instance at C:\Plone\parts\instance): created process
 
Record Number: 12525
Source Name: Zope
Time Written: 20100815142231.000000+120
Event Type: Informationen
User:
 
Computer Name: <computername>
Event Code: 255
Message: Zope_-722186511 (Zope instance at C:\Plone\parts\instance): sleep 20 to avoid rapid restarts
 
Record Number: 12524
Source Name: Zope
Time Written: 20100815142211.000000+120
Event Type: Warnung
User:
 
=====Security event log=====
 
Computer Name: <computername>
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
 
 
Name des Authentifizierungspakets:    C:\WINDOWS\system32\kerberos.dll : Kerberos
 
Record Number: 66019
Source Name: Security
Time Written: 20100805142329.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
 
Computer Name: <computername>
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
 
 
Name des Authentifizierungspakets:    C:\WINDOWS\system32\LSASRV.dll : Negotiate
 
Record Number: 66018
Source Name: Security
Time Written: 20100805142329.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
 
Computer Name: <computername>
Event Code: 513
Message: Windows wird heruntergefahren.
Alle Anmeldesitzungen werden durch den Vorgang des Herunterfahrens beendet.
 
Record Number: 66017
Source Name: Security
Time Written: 20100805142002.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
 
Computer Name: <computername>
Event Code: 551
Message: Benutzerinitiierte Abmeldung:
 
    Benutzername:    ***
 
    Domäne:        <computername>
 
    Anmeldekennung:        (0x0,0x5b733)
 
 
Record Number: 66016
Source Name: Security
Time Written: 20100805141833.000000+120
Event Type: Überwachung erfolgreich
User: <computername>\***
 
Computer Name: <computername>
Event Code: 576
Message: Besondere Rechte bei neuer Anmeldung:
 
    Benutzername:    LOKALER DIENST
 
    Domäne:        NT-AUTORITÄT
 
    Anmeldekennung:        (0x0,0x3E5)
 
    Berechtigungen:        SeAuditPrivilege
            SeAssignPrimaryTokenPrivilege
            SeChangeNotifyPrivilege
 
Record Number: 66015
Source Name: Security
Time Written: 20100805125051.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\LOKALER DIENST
 
======Environment variables======
 
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"LANG"=de
"NpmLib"=C:\Norman_VirusControl\Npm\Bin
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=C:\Software\python25\;C:\Programme\Corel\Corel SVG
 
Viewer\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Software\gimp2.0\GTK2.0\bin;"C:\P
 
rogramme\Symantec\Norton Ghost
 
2003\";%NpmLib%;C:\Programme\Emsisoft\;C:\software_multimedia\quicktime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.py;.pyw
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0602
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"SAN_DIR"=C:\Software\SiSoftware Sandra Lite 2009.SP2
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip
 
-----------------EOF-----------------
--- --- ---

Ich mach mal die Ingrid.

Bevor Fragen dazu kommen:
Ich habe schon Systemwiederherstellung versucht.
Da der PC nicht runter fährt/neu startet leider erfolglos.

Eine Bitte:
Bevor sich Kommentatoren durch die -zugegeben sehr langen-
Logs komplett durchwühlen, würde mich vordringlich interessieren,
ob der User "NT-AUTORITÄT" BÖSE ist, oder eventuell doch ein
"Standard-Windows-User". Bin da echt unsicher.
Wenn definitv böse: wäre es zielführend, überall nach "NT-AUTORITÄT"
zu suchen (z.B. Registry) und zu löschen?
Bliebe auch die Frage, wie sich so ein User einschleichen kann?
Meiner bisherigen Meinung nach, habe ich Security-Software satt.

Schon mal Danke für die Beantwortung dieser vordringlichen Frage.

cosinus 24.08.2010 19:45
Zitat:
alten Version von Agnitum Outpost-Firewall (scheint mir aber
kein Problem)
Warum hast Du diesen Blödsinn überhaupt installiert? :stirn:
Würde ich umgehend deinstallieren und die weitaus sinnvollere Windows-Firewall aktivieren!
Testweise könnte man auch mal Virenscanner und das ganze andere Brimborium deinstallieren (Ad-Aware, Spybot, etc. pp.)

Zitat:
Meiner bisherigen Meinung nach, habe ich Security-Software satt.
Gute Einsicht! :D

Zitat:
Wenn definitv böse: wäre es zielführend, überall nach "NT-AUTORITÄT"
zu suchen (z.B. Registry) und zu löschen?
NT-AUTORITÄT ist ein legitimes Systemkonto! Nix böse!

Probier mal Malwarebytes über ein Random-Setup => http://malwarebytes.org/mbam-download-exe-random.php

anfrage 25.08.2010 18:31
Vielen Dank Cosinus für Deine erste Antwort.

1. Zur Agnitum Outpost Firewall: ist die tatsächlich sooo schlecht?
Ich habe gute Besprechungen gelesen (z.B. Selbstschutz etc.).

2. Mein Primäres AV-Programm ist Norman.
Die anderen sind teilweise "historisch gewachsen". Waren -wie z.B. Spybot S&D aber bisher immer sehr verträglich.

3. Danke für Deine beruhigende Aussage zu "NT AUTORITÄT".
Aber: könnte dieser User feindlich übernommen werden, oder kann ich alle Befürchtungen dazu abhaken?

4. Random_Malwarebyte (=noch eine weitere Security-SW auf meinem PC ;-)
brauchte mehrere Anläufe bis die Datei korrekt geladen wurde. Ist das im Prinzip normal?
Ich habe es dann installiert und nach Update (OK) gestartet.
ABER: wie vorher schon bei normaler Install: auch nach ca. 15 Min. steht der Zeiger immer noch bei "Durchsuchte Objekte = 0".
Bei "Durchsuche zurzeit" wird die ganze Zeit angegeben:
"C:\WINDOWS\system32\_psisdecd.dll"
Ich befürchte, dass wir das Malwarebyte-LOg vergessen müssen.
Meine schon im Anfangsposting genannte Vermutung ist ja die Zugriffsblockierung von "Arbeitsplatz". Wie siehst Du das?
Der Zeiger "Durchsuchte Objekte" wird doch laufend aktualisert? Oder wird er erst zum Abschluss des Programmlaufs aktualisiert? Ich frage ja nur.

5. Fehlen eventuell für die Diagnose noch relevante Angaben zum PC bzw. zur Software?

Gibt es denn in den HijackThis-Logs dubiose Einträge?
Nochmals Danke
Stefan

anfrage 25.08.2010 18:46
Sorry, mache schon wieder die Ingrid.

Noch mal zum Malwarebytes-Scan:
Habe ihn gerade abgebrochen. Prozess "keine Rückmeldung".
Das Programm scannt ja offensichtlich NICHT zuerst den Arbeitspaltz, sondern "system32" und das vermutlch alfabetisch.
Hier mal die Dateien von dort in alphabetischer Reihenfolge:
$winnt$.inf
_psisdecd.dll (die von Mbam angezeigt wird; ihre Funktion: Microsoft SI/PSI parser for MPEG2 based networks. DirektShow)
6to4svc.dll <-- ich vermute HIER stoppt der Scan; ihre Funktion: Service that offers IPv6 connectivity over an IPv4 network.)

Könnte da was faul sein?
Grüße
Stefan

cosinus 25.08.2010 18:52
Zitat:
1. Zur Agnitum Outpost Firewall: ist die tatsächlich sooo schlecht?
Ich habe gute Besprechungen gelesen (z.B. Selbstschutz etc.).
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Zitat:
3. Danke für Deine beruhigende Aussage zu "NT AUTORITÄT".
Aber: könnte dieser User feindlich übernommen werden, oder kann ich alle Befürchtungen dazu abhaken?
Naja, also wenn ich das richtig gelesen habe, ist NT AUTORITÄT kein Benutzerkonto, dass Du mit den anderen vergleichen kannst. Bspw. läuft unter NT AUTORITÄT\SYSTEM das Systemkonto, mit dem man sich so nicht anmelden kann.
Das Problem ist, dass eigentlich fast alle Benutzer mit Adminrechten die ganze Zeit herumwerkeln, und als Admin hat man quasi alle Rechte, da wird kein Systemkonto für benötigt.

Mit Malwarebytes machst Du am besten erstmal nur einen Quickscan wenn der Vollscan nicht will.

anfrage 26.08.2010 12:22
Deine Links zu den Personal Firewalls werde ich mir mal genau durchlesen.
Hilft aber im akuten Fall leider wohl nicht (mehr).

Das zu NT-AUTORITÄT ist keine sehr klare Aussage.
Ich interpretiere es jetzt mal positiv, dass Dir bisher kein Fall untergekommen ist, bei dem NT-AUTORITÄT fremdgesteuert Unheil angerichtet hat.

Der Malwarebytes-Scan war natürlich -wie in der Anleitung beschrieben- der Quickscan.
Wenn nicht die von mir aufgeführten (manipulierten?) Dateien in system32 die Ursache des Programm-Stops sind, dann blockiert "der böse Geist in der Maschine" eventuell
diverse Sicherheitsprogramme an der Ausführung (deswegen ja auch mein Betreff "Systemübernahme...").
Das sagte ich ja auch schon: der Norman-Updater wird zwar gestartet (Taskmanager) aber das kleine Programmfenster, das den Updateprozess Verlaufsbalken zeigt, wird auf dem Desktop nicht (mehr) angezeigt. Ich stelle mal wilde Vermutungen an:
- eventuell werden entsprechende Verbindungen ins Internet gestoppt oder umgebogen
- eventuell wird dem Prozess nicht genügend Speicher zur korrekten Ausführung zugeordnet (Ginge das überhaupt / gibts da Erfahrungen?).

Das sagte ich noch nicht: beim Herunterfahren des (der) PCs muss der Spybot "teatimer.exe" seit dem Auftreten der Probleme IMMER manuell abgeschossen werden.
Das ist ja wohl ein Zeichen, dass der Prozess schon in Stasis versetzt war.
Von dem was auch immer auf meinem PC das Alles verursacht...
Spybot kann auch nicht upgedatet werden.
Dagegen konnte ich die Firewall zuletzt noch updaten (wenn die Daten/Angaben nicht gefakt sind).

Eine Aussage zum nicht zugänglichen "Arbeitsplatz" wäre mir von Dir/Euch sehr dringend.
Denn das ist ja wohl eines der zentralen Probleme auf meinen PCs.
Gibts da keine Erfahrungen?
Grüße von
Stefan

cosinus 26.08.2010 13:53
Zitat:
Das sagte ich noch nicht: beim Herunterfahren des (der) PCs muss der Spybot "teatimer.exe" seit dem Auftreten der Probleme IMMER manuell abgeschossen werden.
Das ist ja wohl ein Zeichen, dass der Prozess schon in Stasis versetzt war.
Spybot kannst Du mittlerweile auch nur noch in die Tonne treten. Deinstallier es und somit auch den Teatimer. Der soll live die Registry überwachen und bei Änderungversuchen ein Popup bringen. Ist sehr nervig. Ungewollte Registryänderungen in Systembereichen der Registy verhindert man eh effektiver mit eingeschränkten Rechten.
Deinstallier auch Outpost gleich mit, falls noch nicht gemacht.

Zitat:
Eine Aussage zum nicht zugänglichen "Arbeitsplatz" wäre mir von Dir/Euch sehr dringend.
Denn das ist ja wohl eines der zentralen Probleme auf meinen PCs.
Was genau meinst Du da jetzt? :wtf:

anfrage 26.08.2010 18:31
<Hmhmhm>
Ich bewege mich tatsächlich nicht dauernd in Profi-Foren zu
Sicherheitssoftware und deshalb möge man mir eine gewisse
Ahnungslosigkeit nachsehen. ;-)
Dein: "deinstalliere Oupost und Spybot" sowie mein seit nun geraumer Zeit
nicht mehr möglicher Update von Norman Antivirus sehen mich nach Befolgung Deines Rats irgendwie im Hemd dastehen (sicherheitsmäßig).

Wenn Du mir nicht sagst, dass meine Sicherheits-SW-Prgramme ursächlich an
meinen Problemen beteiligt sind, sehe ich i.m. keinen Grund sie zu deinstallieren.
(Das ist jetzt mal ein logischer Satz, oder ;-)
Ich werde mich im Netz aber auf jeden Fall nach aktuellen Bewertungen dieser Programme umschauen. Sollte da Negatives raus kommen, bin ich eher gewillt Deinen Rat ins Kalkül zu ziehen.
Bedenke auch eins: ich kann i.M. keine andere/bessere Sicherheits-SW funktionsfähig installieren. Siehe: Malwarebytes!

Zu Deiner Rückfrage wg. "Arbeitsplatz".
Ich zitiere gerne aus meinem Ursprungs-Posting:
/------- Zitat-Anfang ----------
1. Der Windows-Explorer kann den Ordner "Arbeitsplatz" nicht anzeigen.
Beim Versuch friert der Explorer ein und muss abgeschossen werden.
Damit hängt vermutlich auch zusammen, dass diverse Sicherheitssoftware
keinen Komplettscan ausführen kann.

2. Der PC lässt sich nicht herunterfahren bzw. neu starten.
Im Shutdown-Prozess wird "Einstellungen speichern" noch ausgeführt
"Windows wird heruntergefahren" bleibt aber ewig stehen.
Der PC lässt sich nur vom Stromnetz nehmen.
Nach erneutem Einschalten fährt der PC anscheinend normal hoch.

3. Da der PC nicht mehr runter fährt, können keine Sicherheitsupdates
eingespielt werden, die einen Neustart verlangen. Z.T. kann deshalb auch
neue (Sicherheits-)Software nicht installiert werden.
\------- Zitat-Ende ----------
Wenn ich mich da irgendwie unverständlich oder zu diffus ausgedrückt haben
sollte, weise mich einfach darauf hin.


Hier noch mal meine PC-Probleme knackig kurz:
a) Windows-Explorer friert bei Aufsuchen von "Arbeitsplatz" ein
b) PC lässt sich nicht mehr normal runter fahren / neu starten
c) Ohne normalen Neustart keine (Sicherheits)-SW-Updates
d) Bei Malware-Checks diverser Sicherheit-SW werden diese anscheinend in Stasis versetzt.
e) Darüber hinaus z.B.: letzte Windows-Monats-Sec.Updates unvollständig:
.NET-2.0-3.5-Security-Update nicht installierbar.

Aber ansonsten *scheint* der PC so zu funktionieren wie vor Auftritt der Probleme.

Zuletzt noch eine Frage in die Runde (ist aber vielleicht das falsche Forum?):
Gibt es Windows-Boot-Optionen bzw. Klammergriffe, die die GUI solange unterdrücken, bis der Windows-Desktop geladen wird?
Kann man die Bootphase step-by-Step ausführen lassen? Wäre das der Windows Debug-Modus?
Dito auch für die Shutdown-Phase sobald der Desktop geschlossen wird.

Eventuell wäre es sehr hilfreich, wenn man wüsste, was da so abläuft (aka "Systemübernahme") bzw. wo genau der Shutdown-Prozess stoppt.
Grüße von
Stefan

cosinus 26.08.2010 19:45
Zitat:
Wenn Du mir nicht sagst, dass meine Sicherheits-SW-Prgramme ursächlich an
meinen Problemen beteiligt sind, sehe ich i.m. keinen Grund sie zu deinstallieren.
Das sind sie aber oft. Und wenn nicht, sind sie meist kontraproduktiv. Lies endlich die Links, die ich Dir gegeben habe. Du sollst ja nicht den Virenscanner deinstallieren, sondern nur den Outpost- und Spybot-Schrott.

Wegen der anderen Probleme und der Tatsache, dass sich Malwarebytes nichtmla ausführen lässt, würde ich erstmal einen Durchgang mit CF vorschlagen:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

anfrage 05.09.2010 23:51
Vorab: es hat absolut nichts mit Desinteresse an einer Lösung meiner (Malware-)Probleme zu tun, dass ich mich so lange nicht gemeldet habe.
Ich konnte nur etliche Tage nicht an meine heimischen PCs.
Auch in nächster Zeit kann ich nur Abends - wenn überhaupt- ran.
Kann also weiterhin längere Response-Zeiten geben. :-(

Bin leider auch erst vorhin zur Ausführung von ComboFix gekommen.
Der Programmlauf dauerte *wesentlich* länger als die angesagten 10 Min.
Der PC konnte leider auch durch ComboFix nicht ordentlich neu gestartet werden. Nach mehreren Stunden Warten, musste ich ihn -wie immer- vom Strom trennen.
Nach dem Neustart meldete sich ComboFix aber wieder mit seinem Konsolenfenster (vermutlich ordnungsgemäß): "CombFix - Find3M".
Der Fenstertext untersagt ja das Starten von Programmen "bevor Combofix fertig ist". Habe ich natürlich befolgt. Aber es wurden etliche Programme Auto-gestartet. Hoffe, das ist ok. (Hätte ich ja auch gar nicht verhindern können).
Im weiteren verlangten etliche Programme/Prozesse Zugriff auf andere Programme/Prozesse (z.B.: PV.CFXXE -> CSRRS.EXE). Hoffe, das waren alles ComboFix-Programme/Prozesse und dass das seine Ordnung hatte!

Hier folgt das ComboFix.Log:

/------ Beginn: ComboFix.TXT -------
Combofix Logfile:
Code:
ComboFix 10-09-04.06 - <<user>> 05.09.2010  19:31:42.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.149 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\<<user>>\Desktop\cofi.exe
AV: Lavasoft Ad-Watch Live! Virenschutz *On-access scanning disabled* (Updated) {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: Norman Security Suite *On-access scanning disabled* (Outdated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
FW: Outpost Firewall Pro *enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Ins_Internet\Cookies\MM2048.DAT
c:\dokumente und einstellungen\<<user>>\Cookies\MM2048.DAT
c:\dokumente und einstellungen\<<user>>\Eigene Dateien\DPE.DUS
c:\windows\system\BTXFONTS.FON
c:\windows\system\SH31W32.DLL

.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-05 bis 2010-09-05  ))))))))))))))))))))))))))))))
.

2010-08-23 15:44 . 2010-08-23 15:45        --------        d-----w-        c:\dokumente und einstellungen\<<user>>\Anwendungsdaten\vlc
2010-08-22 16:39 . 2010-08-22 16:39        --------        d-----w-        c:\dokumente und einstellungen\<<user>>\Anwendungsdaten\Malwarebytes
2010-08-22 16:35 . 2010-08-22 16:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-15 10:30 . 2010-08-15 10:30        --------        d-----w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\WinPatrol
2010-08-07 17:26 . 2010-08-07 17:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-29 18:28 . 2005-03-25 17:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-28 17:10 . 2007-10-02 17:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-08-22 17:06 . 2010-08-22 17:05        --------        d-----w-        c:\programme\trend micro
2010-08-20 10:45 . 2010-08-20 10:45        3952        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_8FA009BE16CC51E478B1891DAEE30852.dll
2010-08-20 10:45 . 2010-08-20 10:45        333        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_76C858071678444498A5A0B8E2E941E4.dll
2010-08-20 10:45 . 2010-08-20 10:45        566        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_2F44939A4D2D0574FB7EA982F8AE2FFC.dll
2010-08-20 10:45 . 2010-08-20 10:45        6980        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_1D16E1D8593179E499F70D20BDA30547.dll
2010-08-16 22:50 . 2010-08-12 21:30        377320        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-16 15:42 . 2010-08-16 12:15        --------        d-----w-        c:\programme\Windows Live Safety Center
2010-08-15 10:42 . 2010-08-15 10:42        503808        ----a-w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22acc095-n\msvcp71.dll
2010-08-15 10:42 . 2010-08-15 10:42        499712        ----a-w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22acc095-n\jmc.dll
2010-08-15 10:42 . 2010-08-15 10:42        12800        ----a-w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-33a78986-n\decora-d3d.dll
2010-08-15 10:42 . 2010-08-15 10:42        61440        ----a-w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-33a78986-n\decora-sse.dll
2010-08-15 10:42 . 2010-08-15 10:42        348160        ----a-w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22acc095-n\msvcr71.dll
2010-08-14 18:45 . 2009-06-28 21:32        --------        d-----w-        c:\dokumente und einstellungen\Ins_Internet\Anwendungsdaten\vlc
2010-08-13 21:39 . 2010-08-13 21:37        --------        d-----w-        c:\programme\OpenOffice.org 3
2010-08-13 18:21 . 2008-04-19 16:39        --------        d-----w-        c:\programme\OpenOffice.org 2.4
2010-08-13 12:49 . 2007-06-03 12:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-08-13 12:46 . 2004-07-28 21:35        97512        ----a-w-        c:\dokumente und einstellungen\<<user>>\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-13 11:57 . 2005-06-05 16:39        --------        d-----w-        c:\programme\FreePDF_XP
2010-08-12 23:14 . 2002-01-09 12:20        450094        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-12 23:14 . 2002-01-09 12:20        80894        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-12 18:05 . 2009-07-14 21:29        --------        d-----w-        c:\programme\Opera10
2010-08-12 17:12 . 2004-07-25 21:02        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-08-12 17:04 . 2003-12-14 21:38        --------        d-----w-        c:\programme\Java
2010-08-12 16:02 . 2010-08-12 16:02        893        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_D0917D0BDD2BE404886E47CCB02650C4.dll
2010-08-11 10:52 . 2007-07-21 15:46        --------        d-----w-        c:\programme\a2-free
2010-08-11 10:50 . 2005-05-06 11:25        --------        d-----w-        c:\programme\Bryce5
2010-08-01 16:16 . 2010-05-03 11:20        --------        d-----w-        c:\programme\Revo Uninstaller
2010-08-01 12:09 . 2010-08-01 12:09        60        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_B8C3C807736A5FA47994F89241ACB632.dll
2010-08-01 12:09 . 2010-08-01 12:09        907        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_3e43b73803c7c394f8a6b2f0402e19c2.dll
2010-08-01 12:09 . 2010-08-01 12:09        333        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_3C69C2D13F3A7E948B935972D9DE38F7.dll
2010-08-01 12:02 . 2010-07-04 23:13        --------        d-----w-        c:\programme\jv16 PowerTools
2010-07-25 17:44 . 2006-07-14 17:11        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-07-20 13:51 . 2010-08-07 17:29        926568        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto\Installer\SolutoInstaller.exe
2010-07-19 16:29 . 2007-04-01 18:10        --------        d-----w-        c:\programme\Packard Bell Data Secure
2010-07-19 10:34 . 2009-02-02 08:56        15880        ----a-w-        c:\windows\system32\lsdelete.exe
2010-07-17 18:09 . 2010-07-17 18:09        --------        d--h--w-        c:\programme\InstallJammer Registry
2010-07-17 03:00 . 2010-04-18 23:44        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-06-30 12:28 . 2002-01-09 12:20        149504        ----a-w-        c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2004-08-23 19:35        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2002-01-09 12:20        1852032        ----a-w-        c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2002-01-09 12:22        354304        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2002-01-09 12:19        80384        ----a-w-        c:\windows\system32\iccvid.dll
2010-06-14 07:41 . 2002-01-09 12:20        1172480        ----a-w-        c:\windows\system32\msxml3.dll
2000-12-15 14:02 . 2001-01-22 09:28        100560        ------w-        c:\programme\Win2000PPAHotfix.exe
2005-09-19 11:25 . 2005-07-23 10:29        44158        ----a-w-        c:\programme\mozilla firefox\components\inspector.dll
2009-01-01 18:36 . 2009-01-01 18:36        23        --sha-w-        c:\windows\system32\babbfea4_z.dll
2006-05-03 09:06 . 2010-08-05 23:30        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2010-08-05 23:30        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2010-08-05 23:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-10-06 49152]
"softwareuptodate"="c:\programme\Software-UpToDate\Software_UpToDate_Client.exe" [2009-01-02 1229312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"Norman ZANDA"="c:\norman_viruscontrol\Npm\Bin\ZLH.EXE" [2009-10-07 189824]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"nwiz"="nwiz.exe" [2003-10-06 741376]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-07-25 1397760]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 145920]
"PCMService"="c:\software_multimedia\CyberLink_Home_Cinema\PowerCinema\PCMService.exe" [2005-04-20 127118]
"ASM"="c:\software\AOL_Active Security Monitor\ASMonitor.exe" [2006-11-07 2500096]
"WinPatrol"="c:\programme\BillP Studios\WinPatrol\winpatrol.exe" [2010-05-31 323976]
"DiscWizardMonitor.exe"="c:\programme\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-05-04 1195096]
"AcronisTimounterMonitor"="c:\programme\Seagate\DiscWizard\TimounterMonitor.exe" [2007-05-04 1966560]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" [2007-05-04 149024]
"OutpostFeedBack"="c:\programme\Agnitum\Outpost Firewall Pro\feedback.exe" [2009-09-23 436552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-09-23 1270080]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\software_multimedia\quicktime\QTTask.exe" [2010-08-10 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2002-12-2 147456]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2002-12-2 40960]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-1-9 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"USSShReg"=c:\windows\System32\ussshreg.exe /r
"Omnipage"=c:\programme\ScanSoft\OmniPageSE\opware32.exe
"RemoteControl"=c:\software_multimedia\CyberLink\PowerDVD\PDVDServ.exe
"QuickTime Task"="c:\software_multimedia\quicktime\qttask.exe" -atboottime
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
"Iomega Automatic Backup 1.0.1"=c:\programme\Iomega\Iomega Automatic Backup\ibackup.exe
"GhostStartTrayApp"=c:\programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
"Iomega Drive Icons"=c:\programme\Iomega\DriveIcons\ImgIcon.exe
"Iomega Startup Options"=c:\programme\Iomega\Common\ImgStart.exe
"Ad-Watch"=c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Microsoft Works Portfolio"=c:\programme\Microsoft Works\WksSb.exe /AllUsers
"Microsoft Works Update Detection"=c:\programme\Microsoft Works\WkDetect.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Software_Multimedia\\CyberLink_Home_Cinema\\PowerCinema\\PowerCinema.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Software\\SiSoftware Sandra Lite 2009.SP2\\RpcAgentSrv.exe"=
"c:\\Software\\SiSoftware Sandra Lite 2009.SP2\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Opera10\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2010-08-11 1355416]
R2 Zope_29920312;Zope instance at c:\plone\Data;c:\plone\Python\PythonService.exe [2008-07-27 10240]
R3 CXLWIRE;USB Hybrid Video Capture (DVB-T/PAL);c:\windows\system32\drivers\ctxusbtv.sys [2005-04-13 85120]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [2010-08-11 15008]
R3 LogoMedia TranslateDotNet Server;LogoMedia TranslateDotNet Server;c:\software\Power Translator\LogoMedia TranslateDotNet Server.exe [2003-09-26 626688]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-04-29 38224]
R3 nvcfsr;nvcfsr;c:\norman_viruscontrol\Nvc\BIN\nvcfsr.sys [2009-10-06 9032]
R3 nvcoafl51;nvcoafl51;c:\norman_viruscontrol\nvc\BIN\nvcoafl51.sys [2009-10-06 32584]
R3 nvcoaft51;nvcoaft51;c:\norman_viruscontrol\nvc\BIN\nvcoaft51.sys [2009-10-06 132168]
R3 nvcoarc51;nvcoarc51;c:\norman_viruscontrol\nvc\BIN\nvcoarc51.sys [2009-10-06 25544]
R3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\software\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [2008-12-11 98488]
R3 SPR132;SPRx32 Serial Smart Card Reader;c:\windows\system32\DRIVERS\SPR132.sys [2002-12-23 181908]
R3 SPRx32 USB Smart Card Reader;SPRx32 USB Smart Card Reader;c:\windows\system32\DRIVERS\spr332.sys [2003-12-23 47132]
R3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys);c:\windows\system32\Drivers\TTCinergyT2.sys [2004-09-29 16640]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-06-04 64288]
S0 OODrvled;OODrvled;c:\windows\system32\DRIVERS\OODrvled.sys [2004-09-22 15488]
S1 GhPciScan;GhostPciScanner;c:\programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]
S1 NGS;Norman General Security Driver;c:\norman_viruscontrol\ngs\bin\ngs.sys [2009-10-07 25032]
S1 NPROSEC;Norman Security driver;c:\norman_viruscontrol\Ngs\Bin\nprosec.sys [2009-10-07 56136]
S1 SandBox;SandBox;c:\windows\system32\DRIVERS\SandBox.sys [2009-08-28 714112]
S1 SBRE;SBRE;c:\windows\system32\drivers\SBREdrv.sys [2010-03-29 95024]
S2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2009-09-23 1338560]
S2 DzlDvc2p;Dazzle DVC II PCI Device;c:\windows\system32\DRIVERS\DzlDvc2p.sys [2001-08-24 117860]
S2 Ndiskio;Ndiskio;c:\norman_viruscontrol\nse\bin\ndiskio.sys [2009-10-13 24168]
S2 NPROSECSVC;Norman Security service;c:\norman_viruscontrol\Ngs\Bin\Nprosec.exe [2009-10-07 124232]
S2 NVOY;Norman Resource Provider;c:\norman_viruscontrol\npm\bin\nvoy.exe [2009-10-07 128328]
S2 V7;V7; [x]
S2 Zope_-722186511;Zope instance at c:\plone\parts\instance;c:\plone\python\PythonService.exe [2008-07-27 10240]
S3 afw;Agnitum firewall driver;c:\windows\system32\DRIVERS\afw.sys [2009-02-18 31128]
S3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2009-09-14 256792]
S3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [2009-08-28 33920]
S3 nsesvc;Norman Scanner Engine Service;c:\norman_viruscontrol\nse\bin\NSESVC.EXE [2010-06-14 282624]
S3 NvcMFlt;NvcMFlt;c:\windows\system32\DRIVERS\nvcw32mf.sys [2009-10-08 21832]
S3 nvcoas;Norman Virus Control on-access component;c:\norman_viruscontrol\Nvc\bin\nvcoas.exe [2009-10-07 197960]
S3 Scheduler;Norman Scheduler Service;c:\norman_viruscontrol\Npm\Bin\scheduler.exe [2009-10-07 132424]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2010-08-28 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 11:51]

2010-08-28 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 11:51]

2010-08-28 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 11:51]

2010-08-28 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 11:51]

2010-08-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2005-02-06 c:\windows\Tasks\FRU Task 2002-12-03 04:38ewlett-Packard2002-12-03 04:38p psc 1200 series84887B468ABA3F57D76752217D5938688025EB21085903485.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-12-02 18:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uDefault_Search_URL = hxxp://ie.search.msn.com
mSearch Bar =
uCustomizeSearch = hxxp://ie.search.msn.com
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - c:\software\AT-PROMPT_Translator\PRMTIE\prmtie5.htm
IE: {{F6BCBA72-9ABD-468B-A538-619F72A8EC8C} - {DF0AFE9E-83C8-4FA1-9362-2EDF5F76A3A5} -
Trusted Zone: aol.com\my.screenname
Trusted Zone: aol.com\publish.hometown
TCP: {A97CD352-26B5-4316-AA25-BB698327EA98} = 69.50.176.197,195.225.176.31
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - ProfilePath - c:\dokumente und einstellungen\<<user>>\Anwendungsdaten\Mozilla\Firefox\Profiles\default.eim\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\dokumente und einstellungen\<<user>>\Anwendungsdaten\Mozilla\Firefox\Profiles\default.eim\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - component: c:\dokumente und einstellungen\<<user>>\Anwendungsdaten\Mozilla\Firefox\Profiles\default.eim\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Opera\program\plugins\npdrmv2.dll
FF - plugin: c:\programme\Opera10\program\plugins\npdrmv2.dll
FF - plugin: c:\programme\Opera10\program\plugins\npdsplay.dll
FF - plugin: c:\programme\Opera10\program\plugins\npjpi160_20.dll
FF - plugin: c:\programme\Opera10\program\plugins\npqtplugin.dll
FF - plugin: c:\programme\Opera10\program\plugins\npqtplugin2.dll
FF - plugin: c:\programme\Opera10\program\plugins\npqtplugin3.dll
FF - plugin: c:\programme\Opera10\program\plugins\NPSWF32.dll
FF - plugin: c:\programme\Opera10\program\plugins\npwmsdrm.dll
FF - plugin: c:\software_multimedia\quicktime\Plugins\npqtplugin.dll
FF - plugin: c:\software_multimedia\quicktime\Plugins\npqtplugin2.dll
FF - plugin: c:\software_multimedia\quicktime\Plugins\npqtplugin3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Agnitum Outpost Firewall Pro - c:\progra~1\Agnitum\OUTPOS~1.0\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-05 23:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"=""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1194005503-2190867815-4088190255-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(884)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(3672)
c:\norman_viruscontrol\nvc\bin\Niphk.dll
c:\programme\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\norman_viruscontrol\Npm\bin\ELOGSVC.EXE
c:\programme\Ahead\InCD\InCDsrv.exe
c:\norman_viruscontrol\Npm\Bin\Zanda.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
c:\software_multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\progra~1\Symantec\NORTON~1\GHOSTS~2.EXE
c:\progra~1\Iomega\System32\AppServices.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\software_multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\norman_viruscontrol\Npm\Bin\Njeeves.exe
c:\windows\system32\wscntfy.exe
c:\norman_viruscontrol\Nvc\Bin\Nip.exe
c:\norman_viruscontrol\Nvc\Bin\cclaw.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-06  00:45:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-05 22:44

Vor Suchlauf: 41 Verzeichnis(se), 26.379.669.504 Bytes frei
Nach Suchlauf: 43 Verzeichnis(se), 26.410.549.248 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 8714BB874227B85F4DD47AA4154F3B3B
--- --- ---


\------ Ende: ComboFix.TXT ----------

Bin gespannt auf Eure Interpretation!

cosinus 06.09.2010 08:44
Zitat:
FW: Outpost Firewall Pro *enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
Solltest Du doch deinstallieren!
Der Rest vom Log ist oka, es geht aber weiter mit anderen Tools. Vorher bitte den unnötigen Kram wie angesprochen deinstallieren.

anfrage 26.09.2010 18:34
Brav wie ich bin, habe ich zwischenzeiltich Outpost Firewall deinstalliert.
Da ich aber sicherheitsmäßig "Bauchweh" verspürte, habe ich dann sofort die Windows Firewall aktiviert. Ich hoffe, dass das keine kritikwürdige Maßnahme war.
(Mir kommt aber vor, dass der PC mittlerweile noch langsamer reagiert).

Für mich stellt sich nach wie vor die Frage, ob der von mir dargelegte PC-Zustand ursächlich auf Malware oder obskure Windows-Einstellungen zurück zu führen ist.
Letzteres halte ich für nicht so wahrscheinlich aber nicht ausgeschlossen.

Nachdem ich nur Gutes vom Trojanerboard gehört hatte - deshalb habe ich mein Problem hier und nicht woanders dargelegt - bin ich schon etwas enttäuscht, dass bisher und auf Basis der gemachten Logs noch keine erste Einschätzung ob Malware oder Sonstiges die Ursache meiner Probleme ist, möglich war. Gibt es ausser Cosinus keine anderen Experten hier? Oder gehen die Experten "arbeitsteilig" vor?
Sind die von mir beschriebenen Probleme tatsächlich so neu und ohne Vergleich mit bisher im Board bearbeiteten Problemen?

Ich habe heute einen manuellen Scan mit NORMAN Antivirus gemacht (Norman Update-Stand: 6.9.2010; seitdem funktioniert das Update nicht mehr).
Norman hat KEINE Viren gefunden, konnte aber etliche Verzeichnisse/Dateien nicht scannen. Das Log dazu stelle ich gerne zur Verfügung.

Was erhoffe ich mir vom Trojanerboard?
1. Weitere Anweisungen, was ich noch untersuchen / scannen soll
2. eine erste Einschätzung zu den Ursachen.

Viele Grüße
Stefan

cosinus 26.09.2010 19:25
Zitat:
Da ich aber sicherheitsmäßig "Bauchweh" verspürte, habe ich dann sofort die Windows Firewall aktiviert. Ich hoffe, dass das keine kritikwürdige Maßnahme war.
ich hab nirgendwo erwähnt, dass Du die Windows-Firewall nicht einschalten darfst. Es wird ausdrücklich empfohlen die zu nutzen, besser noch mit DSL-Router wenn möglich.

Zitat:
(Mir kommt aber vor, dass der PC mittlerweile noch langsamer reagiert).
Das letzte Posting vorher war Anfang September!
Was hat Du denn alles in den vergangenen drei Wochen gemacht? :wtf:

Zitat:
Was erhoffe ich mir vom Trojanerboard?
1. Weitere Anweisungen, was ich noch untersuchen / scannen soll
Ich hab Dir vor über drei Wochen geschrieben, dass es weiter geht, wenn Du Bescheid sagst, dass Outpost deinstalliert wurde. Das hätte gereicht. Aber anstatt einfach mitzuteilen, dass es erledigt ist, machst Du hier drei Wochen später einen kleinen Nebenkriegsschauplatz auf und fragst ob es noch andere Experten gibt. Zusätzlich teilst Du mit, dass Du andere Anweisungen erhoffst - die hätte ich Dir auch so gegeben, aber manche Programme, die Du installiert hattest vorher waren einfach nur sinnfrei und störend.

Zu Deinen Problemen:

Zitat:
Hier noch mal meine PC-Probleme knackig kurz:
a) Windows-Explorer friert bei Aufsuchen von "Arbeitsplatz" ein
b) PC lässt sich nicht mehr normal runter fahren / neu starten
c) Ohne normalen Neustart keine (Sicherheits)-SW-Updates
d) Bei Malware-Checks diverser Sicherheit-SW werden diese anscheinend in Stasis versetzt.
e) Darüber hinaus z.B.: letzte Windows-Monats-Sec.Updates unvollständig:
.NET-2.0-3.5-Security-Update nicht installierbar.
Ich weiß nicht mehr, was davon alles aktuell ist, aber das kann alles verschiedene Ursachen haben, zB kann das Öffnen eines Arbeitsplatzes lange dauern, wenn irgendwelche Netzlaufwerke noch gemappt sind, das Ziel aber nicht erreichbar oder überlastet ist...

Das letzte CF-Log war AFAIK soweit ok. Da Du Outpost deinstalliert hast gehts auch weiter: Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

anfrage 26.09.2010 21:53
Zitat:
Zitat von cosinus (Beitrag 572360)
ich hab nirgendwo erwähnt, dass Du die Windows-Firewall nicht einschalten darfst. Es wird ausdrücklich empfohlen die zu nutzen, besser noch mit DSL-Router wenn möglich.
OK. Nutze DSL; OS ist Win XP SP3.


Zitat:
Zitat von cosinus (Beitrag 572360)
Das letzte Posting vorher war Anfang September!
Was hat Du denn alles in den vergangenen drei Wochen gemacht? :wtf:
Die Problem-PCs sind meine heimischen PCs.
Zwischenzeitlich habe ich viel gearbeitet und hatte an den Wochenenden
auch nur sehr wenig Zeit, um die PC-Probleme weiter anzugehen.


Zitat:
Zitat von cosinus (Beitrag 572360)
Ich hab Dir vor über drei Wochen geschrieben, dass es weiter geht, wenn Du Bescheid sagst, dass Outpost deinstalliert wurde. Das hätte gereicht. Aber anstatt einfach mitzuteilen, dass es erledigt ist, machst Du hier drei Wochen später einen kleinen Nebenkriegsschauplatz auf und fragst ob es noch andere Experten gibt. Zusätzlich teilst Du mit, dass Du andere Anweisungen erhoffst - die hätte ich Dir auch so gegeben, aber manche Programme, die Du installiert hattest vorher waren einfach nur sinnfrei und störend.
Entschuldige. Wollte keinen Nebenkriegsschauplatz aufmachen.
Da ich nicht weiß, wie Ihr Eure Arbeit beim Trojanerboard aufteilt,
war das eine Frage "in die Runde". Ging nicht gegen Dich.


Zitat:
Zitat von cosinus (Beitrag 572360)
Zu Deinen Problemen:
Ich weiß nicht mehr, was davon alles aktuell ist, aber das kann alles verschiedene Ursachen haben, zB kann das Öffnen eines Arbeitsplatzes lange dauern, wenn irgendwelche Netzlaufwerke noch gemappt sind, das Ziel aber nicht erreichbar oder überlastet ist...
Alles knackig aufgeführte ist weiter aktuell. Unveränderter Zustand.
Netzlauferke? Habe ich m.W. keine.
Beide PCs waren mal *vor Jahren* lokal verbunden. Ist aber schon lange inaktiv. Und mein Katastrophenzustand ist ja erst ca. einen Monat alt.


Zitat:
Zitat von cosinus (Beitrag 572360)
Das letzte CF-Log war AFAIK soweit ok. Da Du Outpost deinstalliert hast gehts auch weiter: Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
Werde Deine Anleitungen durchziehen. Dauert aber wieder etwas.
Ab Do. habe ich Urlaub und kann mich drum kümmern.
Aber da Du hier genug anderes tun musst, wirst Du mein Re-posting erst mal nicht vermissen - denke ich. :)
Aber Danke für Deine prompte Reaktion auf mein vorhergehendes Posting.
Stefan

anfrage 01.10.2010 18:47
Gestern als ich GMER und OSAM angehen wollte, wurde ich erst mal geschockt, als nach dem Hochfahren Internet-Konnektion nicht zustande kam: Netzwerkkarte wurde nicht erkannt. Ich bekam schon Panik ob STUXXNET zuschlägt (habe Siemens-PC) ;-)
Nach Rütteln ander Netzwerkkarte war's wohl nur ein Wackelkontakt.
1. Ist mir sowas aber seit Jahren nicht passiert.
2. Schon seltsam.

Nun also heute GMER + OSAM.

1.GMER: Download u. install problemlos.
Scan hört aber unvermittelt auf (=Aktivitätsfenster bleibt einfach leer). Gleichzeitig verschwinden die Desktop-Icons und Windows-Leisten. Es bleibt der schlichte Win-XP-Hintergrund (=Grüner Hügel). Ich kann zwar auf "Copy" (Log) klicken. Aber nach schließen des GMER-Programmfensters, bleibt nur der Mauszeiger.
Alos keine Möglichkeit das Log zu sichern, ein Program zu starten oder Windows herunter zu fahren. Bleibt nur der Stromschalter.
Ich habe immerhin die beiden letzten Log-Einträge manuell aufgeschrieben.
Hier sind sie:
Type: Disk
Name: \Device\Harddisk0\DR0
Value: Sector 62 rootkit_like behaviour; copy of MBR
Und das auch für Sector 63.
Wie gesagt: die letzten beiden Einträge bevor GMER seine Aktivität einstellte.
Ich finde: ziemlich verdächtig!

Nun OSAM:
Download, install und Ausführung problemlos.
Das Ergebnisfenster zeigt nur grüne Balken oder unbekannte Risks also graue Balken.

--- OSAM-LOG Beginn ---

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:36:14 on 01.10.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AutoDiskCpl" - "Iomega Corp." - C:\WINDOWS\System32\AutoDisk.cpl
"QuickTime" - "Apple Inc." - C:\software_multimedia\quicktime\QTSystem\QuickTime.cpl
"SYMLIVE" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Ad-Watch Connect Kernel Filter" (Ad-Watch Connect Filter) - ? - C:\WINDOWS\system32\drivers\NSDriver.sys  (File not found)
"AFS2k" (AFS2K) - "Oak Technology Inc." - C:\WINDOWS\system32\drivers\AFS2K.sys
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys
"AVG Anti-Rootkit" (AVG Anti-Rootkit) - "GRISOFT, s.r.o." - C:\WINDOWS\System32\DRIVERS\avgarkt.sys
"Avg Anti-Rootkit Clean Driver" (AvgArCln) - "GRISOFT, s.r.o." - C:\WINDOWS\System32\DRIVERS\AvgArCln.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"GhostPciScanner" (GhPciScan) - "Symantec Corporation" - C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"Iomega Devices Disk Filter Services" (iomdisk) - "Iomega Corporation" - C:\WINDOWS\System32\DRIVERS\iomdisk.sys
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbamswissarmy.sys
"Ndiskio" (Ndiskio) - "Norman ASA" - c:\norman_viruscontrol\nse\bin\ndiskio.sys
"Norman General Security Driver" (NGS) - "Norman ASA" - c:\norman_viruscontrol\ngs\bin\ngs.sys
"Norman Registry Security driver" (nregsec) - "Norman ASA" - C:\Norman_VirusControl\Ngs\Bin\nregsec.sys
"Norman Security driver" (NPROSEC) - "Norman ASA" - C:\Norman_VirusControl\Ngs\Bin\nprosec.sys
"nvcfsr" (nvcfsr) - "Norman ASA" - C:\NORMAN_VIRUSCONTROL\Nvc\BIN\nvcfsr.sys
"NvcMFlt" (NvcMFlt) - "Norman ASA" - C:\WINDOWS\System32\DRIVERS\nvcw32mf.sys
"nvcoafl51" (nvcoafl51) - ? - C:\NORMAN_VIRUSCONTROL\nvc\BIN\nvcoafl51.sys
"nvcoaft51" (nvcoaft51) - "Norman ASA" - C:\NORMAN_VIRUSCONTROL\nvc\BIN\nvcoaft51.sys
"nvcoarc51" (nvcoarc51) - ? - C:\NORMAN_VIRUSCONTROL\nvc\BIN\nvcoarc51.sys
"OODrvled" (OODrvled) - "O&O Software GmbH" - C:\WINDOWS\System32\DRIVERS\OODrvled.sys
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SANDRA" (SANDRA) - "SiSoftware" - C:\Software\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys
"SBRE" (SBRE) - "Sunbelt Software" - C:\WINDOWS\system32\drivers\SBREdrv.sys
"TerraTec Cinergy T² Driver (TTCinergyT2.sys)" (TTCinergyT2) - "TerraTec Electronic GmbH" - C:\WINDOWS\System32\Drivers\TTCinergyT2.sys
"TVICHW32" (TVICHW32) - "EnTech Taiwan" - C:\WINDOWS\System32\DRIVERS\TVICHW32.SYS
"V7" (V7) - "IBM Corporation" - C:\WINDOWS\system32\drivers\V7.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} "CRLUpdate" - "Microsoft Corporation" - %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Software\Packer\7-Zip\7-zip.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Seagate" - C:\Programme\Seagate\DiscWizard\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Seagate" - C:\Programme\Seagate\DiscWizard\tishell.dll
{AB77609F-2178-4E6F-9C4B-44AC179D937A} "a² Context Menu Shell Extension" - ? - C:\Programme\a2_free\a2contmenu.dll  (File found, but it contains no detailed information)
 "CorelDRAW Shell Extension Component" - ? -  (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{CB6C13AE-D1BD-4EA5-81FC-A1AC20942B6A} "dsContextMenu" - ? - C:\PROGRA~1\PACKAR~1\DSRClick.dll  (File found, but it contains no detailed information)
{B28C18DB-6816-4F31-9630-397683E3C2C3} "Filzip Shell Extension" - ? - C:\Software\Packer\Filzip\fzshext.dll
{c7745760-8ead-11ce-b750-02608ca5202c} "IomegaWare Shell Extension" - "Iomega Corp." - C:\Programme\Iomega\Shell\ImgMenu.dll
{c7745761-8ead-11ce-b750-02608ca5202c} "IomegaWare Shell Extension" - "Iomega Corp." - C:\Programme\Iomega\Shell\ImgProp.dll
{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682} "IZArc DragDrop Menu" - ? - C:\Software\Packer\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} "IZArc Shell Context Menu" - ? - C:\Software\Packer\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{57C51AF9-DEF7-11D3-A801-00C04F163490} "PropPage Class" - "Symantec Corporation" - C:\Programme\Symantec\Norton Ghost 2003\GhoShExt.dll
{8903F6C9-25E3-40AC-A98F-E6D35CD0469C} "PSPad" - ? - C:\Software\PSPADE~1\PSPADS~1.DLL  (File found, but it contains no detailed information)
{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - ? -  (File not found | COM-object registry key not found)
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - ? -  (File not found | COM-object registry key not found)
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - ? -  (File not found | COM-object registry key not found)
{FACEB421-912E-11D3-B7D5-0080AD41AF95} "ZipStar Shell Extension" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Trashcan" - ? - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe  (File not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} "a-squared Scanner" - "Emsi Software GmbH" - C:\WINDOWS\DOWNLO~1\asquared.ocx / hxxp://ax.emsisoft.com/asquared.cab
{4871A87A-BFDD-4106-8153-FFDE2BAC2967} "DLM Control" - "Akamai Technologies, Inc." - C:\WINDOWS\DOWNLO~1\DOWNLO~1.OCX / hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.2.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{EB387D2F-E27B-4D36-979E-847D1036C65D} "QDiagHUpdateObj Class" - "Gteko Ltd." - C:\WINDOWS\system32\qdiagh.ocx / hxxp://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
{5ED80217-570B-4DA9-BF44-BE107C0EC166} "Windows Live Safety Center Base Module" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\wlscBase.dll / hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab
{62475759-9E84-458E-A1AB-5D2C442ADFDE} "{62475759-9E84-458E-A1AB-5D2C442ADFDE}" - ? -  (File not found | COM-object registry key not found) / hxxp://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -  (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? -  (File not found | COM-object registry key not found) / hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38199.1043865741
{CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} "{CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -  (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Script" - ? - C:\Software\AT-PROMPT_Translator\PRMTIE\prmtie5.htm
"Script" - ? - C:\Software\AT-PROMPT_Translator\PRMTIE\options.htm
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{CC962137-2E78-4f94-975E-FC0C07DBD78F} "Developer Toolbar" - ? -  (File not found | COM-object registry key not found)
{FF284F5C-7CF9-4682-8701-D467C1DBB99F} "Übersetzer" - "PROMT Ltd." - C:\Software\AT-PROMPT_Translator\PRMTIE\prmtie.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{CC7E636D-39AA-49b6-B511-65413DA137A1} "{CC7E636D-39AA-49b6-B511-65413DA137A1}" - ? -  (File not found | COM-object registry key not found)

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"softwareuptodate" - "Bernd Ott" - C:\Programme\Software-UpToDate\Software_UpToDate_Client.exe /reminder
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe"
"AcronisTimounterMonitor" - "Acronis" - C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ASM" - "AOL LLC" - "C:\Software\AOL_Active Security Monitor\ASMonitor.exe" HIDEMAIN
"DiscWizardMonitor.exe" - "Seagate" - C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"Norman ZANDA" - "Norman ASA" - "C:\Norman_VirusControl\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
"PCMService" - "CyberLink Corp." - "C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\PCMService.exe"
"QuickTime Task" - "Apple Inc." - "C:\software_multimedia\quicktime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"WinPatrol" - "BillP Studios" - C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"CyberLink Background Capture Service (CBCS)" (CLCapSvc) - ? - C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
"CyberLink Media Library Service" (CyberLink Media Library Service) - "Cyberlink" - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
"CyberLink Task Scheduler (CTS)" (CLSched) - ? - C:\Software_Multimedia\CyberLink_Home_Cinema\PowerCinema\Kernel\TV\CLSched.exe
"GhostStartService" (GhostStartService) - "Symantec Corporation" - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"Iomega App Services" (Iomega App Services) - "Iomega Corporation" - C:\PROGRA~1\Iomega\System32\AppServices.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"LogoMedia TranslateDotNet Server" (LogoMedia TranslateDotNet Server) - "LogoMedia Corporation" - C:\Software\Power Translator\LogoMedia TranslateDotNet Server.exe
"Norman eLogger service 6" (eLoggerSvc6) - "Norman ASA" - C:\Norman_VirusControl\Npm\bin\ELOGSVC.EXE
"Norman Network Filtering service" (NNFSVC) - "Norman ASA" - C:\Norman_VirusControl\Ngs\Bin\Nnf.exe
"Norman NJeeves" (Norman NJeeves) - "Norman ASA" - C:\Norman_VirusControl\Npm\Bin\Njeeves.exe
"Norman Resource Provider" (NVOY) - "Norman ASA" - C:\Norman_VirusControl\npm\bin\nvoy.exe
"Norman Scanner Engine Service" (nsesvc) - "Norman ASA" - C:\Norman_VirusControl\nse\bin\NSESVC.EXE
"Norman Scheduler Service" (Scheduler) - "Norman ASA" - C:\Norman_VirusControl\Npm\Bin\scheduler.exe
"Norman Security service" (NPROSECSVC) - "Norman ASA" - C:\Norman_VirusControl\Ngs\Bin\Nprosec.exe
"Norman Virus Control on-access component" (nvcoas) - "Norman ASA" - C:\Norman_VirusControl\Nvc\bin\nvcoas.exe
"Norman ZANDA" (Norman ZANDA) - "Norman ASA" - C:\Norman_VirusControl\Npm\Bin\Zanda.exe
"O&O Defrag 2000" (OOD2000) - "O&O Software GmbH" - C:\WINDOWS\system32\OOD2000.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe
"SiSoftware Deployment Agent Service" (SandraAgentSrv) - "SiSoftware" - C:\Software\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"X10 Device Network Service" (x10nets) - "X10" - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
"Zope instance at C:\Plone\Data" (Zope_29920312) - ? - C:\Plone\Python\PythonService.exe
"Zope instance at C:\Plone\parts\instance" (Zope_-722186511) - ? - C:\Plone\python\PythonService.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
--- OSAM-LOG Ende ---

Bin auf Interpretation gespannt
Viele Grüße
Stefan

cosinus 01.10.2010 19:18
Sieht nach einem inifzierten MBR aus. Was ist mit dem Bootkit Remover?

anfrage 02.10.2010 11:56
Kommt hier.
Download und Ausführung ohne Probleme.
Die Prüfung ging *sehr* schnell. Prüft ja nur den MBR?!
Ausgabe im DOS-Fenster nur eine Zeile in GRÜN.
... Disk0 OK MBR Code found ... (oder so ähnlich).

Sieht mir eher danach aus, als hätte das Tool keine MBR-Infektion gefunden.

Die Datei "bootkit_remover_debug_log.txt" ist ja wohl das ausführliche Log.
(Aber warum "debug"??).

--- LOG Beginn ---

.\debug.cpp(238) : Debug log started at 02.10.2010 - 11:56:55
.\boot_cleaner.cpp(527) : Bootkit Remover
.\boot_cleaner.cpp(528) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(529) : www.esagelab.com
.\boot_cleaner.cpp(533) : Program version: 1.2.0.0
.\boot_cleaner.cpp(540) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00217380 "\WINDOWS\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x806ef000 0x00020300 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xf8a36000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf8946000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf84e6000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf8a38000 0x00002000 "\WINDOWS\System32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xf84d5000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf8536000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf8a3a000 0x00002000 "avgarkt.sys"
.\debug.cpp(256) : 0xf8a3c000 0x00002000 "viaide.sys"
.\debug.cpp(256) : 0xf87b6000 0x00007000 "\WINDOWS\System32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf8546000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf84b6000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf87be000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf8556000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf849e000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf8566000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf8576000 0x0000d000 "\WINDOWS\System32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf847e000 0x00020000 "fltmgr.sys"
.\debug.cpp(256) : 0xf846c000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf8586000 0x0000f000 "Lbd.sys"
.\debug.cpp(256) : 0xf894a000 0x00003000 "pfc.sys"
.\debug.cpp(256) : 0xf894e000 0x00004000 "OODrvled.sys"
.\debug.cpp(256) : 0xf8596000 0x00009000 "PxHelp20.sys"
.\debug.cpp(256) : 0xf8455000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf83c8000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xf839b000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xf833b000 0x00060000 "timntr.sys"
.\debug.cpp(256) : 0xf85a6000 0x0000b000 "viaagp.sys"
.\debug.cpp(256) : 0xf831f000 0x0001c000 "snapman.sys"
.\debug.cpp(256) : 0xf87c6000 0x00005000 "ppa3.sys"
.\debug.cpp(256) : 0xf8305000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf87ce000 0x00007000 "iomdisk.sys"
.\debug.cpp(256) : 0xf8696000 0x0000b000 "\SystemRoot\System32\DRIVERS\amdk7.sys"
.\debug.cpp(256) : 0xf79cb000 0x00166000 "\SystemRoot\System32\DRIVERS\nv4_mini.sys"
.\debug.cpp(256) : 0xf79b7000 0x00014000 "\SystemRoot\System32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf8836000 0x00006000 "\SystemRoot\System32\DRIVERS\RTL8139.SYS"
.\debug.cpp(256) : 0xf799a000 0x0001d000 "\SystemRoot\System32\DRIVERS\DzlDvc2p.sys"
.\debug.cpp(256) : 0xf86a6000 0x0000d000 "\SystemRoot\System32\DRIVERS\STREAM.SYS"
.\debug.cpp(256) : 0xf7977000 0x00023000 "\SystemRoot\System32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xf883e000 0x00006000 "\SystemRoot\System32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xf7953000 0x00024000 "\SystemRoot\System32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf8846000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf86b6000 0x0000e000 "\SystemRoot\System32\Drivers\AFS2K.SYS"
.\debug.cpp(256) : 0xf86c6000 0x00010000 "\SystemRoot\System32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xf86e6000 0x0000f000 "\SystemRoot\System32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xf8856000 0x00008000 "\SystemRoot\System32\DRIVERS\InCDPass.sys"
.\debug.cpp(256) : 0xf885e000 0x00007000 "\SystemRoot\System32\Drivers\incdrm.SYS"
.\debug.cpp(256) : 0xf8766000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xf7919000 0x0003a000 "\SystemRoot\system32\drivers\ALCXWDM.SYS"
.\debug.cpp(256) : 0xf78f5000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xf8786000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xf88b6000 0x00007000 "\SystemRoot\System32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xf8796000 0x00010000 "\SystemRoot\System32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xf82ad000 0x00004000 "\SystemRoot\System32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xf78e1000 0x00014000 "\SystemRoot\System32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xf87a6000 0x0000d000 "\SystemRoot\System32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xf88c6000 0x00006000 "\SystemRoot\System32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf88ce000 0x00007000 "\SystemRoot\System32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf82a9000 0x00003000 "\SystemRoot\System32\DRIVERS\gameenum.sys"
.\debug.cpp(256) : 0xf8aff000 0x00001000 "\SystemRoot\system32\drivers\msmpu401.sys"
.\debug.cpp(256) : 0xf8b00000 0x00001000 "\SystemRoot\System32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf85d6000 0x0000d000 "\SystemRoot\System32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf82a1000 0x00003000 "\SystemRoot\System32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf78ca000 0x00017000 "\SystemRoot\System32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf85e6000 0x0000b000 "\SystemRoot\System32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf85f6000 0x0000c000 "\SystemRoot\System32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf88d6000 0x00005000 "\SystemRoot\System32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf78b9000 0x00011000 "\SystemRoot\System32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf8606000 0x00009000 "\SystemRoot\System32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf880e000 0x00005000 "\SystemRoot\System32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf884e000 0x00005000 "\SystemRoot\System32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf8abe000 0x00002000 "\SystemRoot\System32\Drivers\RootMdm.sys"
.\debug.cpp(256) : 0xf8866000 0x00008000 "\SystemRoot\System32\Drivers\Modem.SYS"
.\debug.cpp(256) : 0xf8646000 0x0000a000 "\SystemRoot\System32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf8ac2000 0x00002000 "\SystemRoot\System32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf4ca5000 0x0005e000 "\SystemRoot\System32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf8a0a000 0x00004000 "\SystemRoot\System32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf7c44000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf7c34000 0x0000f000 "\SystemRoot\System32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xf8a54000 0x00002000 "\SystemRoot\System32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf891e000 0x00005000 "\SystemRoot\System32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xf82d5000 0x00003000 "\SystemRoot\System32\Drivers\i2omgmt.SYS"
.\debug.cpp(256) : 0xf2a9a000 0x00011000 "\??\C:\Norman_VirusControl\Ngs\Bin\nprosec.sys"
.\debug.cpp(256) : 0xf8a5c000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xf8b7b000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf8a5e000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xf8c70000 0x00001000 "\SystemRoot\System32\DRIVERS\AvgArCln.sys"
.\debug.cpp(256) : 0xf892e000 0x00007000 "\??\C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys"
.\debug.cpp(256) : 0xf2a84000 0x00016000 "\??\C:\WINDOWS\system32\drivers\SBREdrv.sys"
.\debug.cpp(256) : 0xf8936000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf8a60000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf8a62000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xf82cd000 0x00003000 "\SystemRoot\System32\Drivers\InCDrec.SYS"
.\debug.cpp(256) : 0xf2a4b000 0x00019000 "\SystemRoot\System32\Drivers\InCDfs.SYS"
.\debug.cpp(256) : 0xf87ee000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xf87f6000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xf82c9000 0x00003000 "\SystemRoot\System32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xf2a38000 0x00013000 "\SystemRoot\System32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xf29df000 0x00059000 "\SystemRoot\System32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xf29b7000 0x00028000 "\SystemRoot\System32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xf2995000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xf86d6000 0x00009000 "\SystemRoot\System32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xf296a000 0x0002b000 "\SystemRoot\System32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xf881e000 0x00005000 "\??\c:\norman_viruscontrol\ngs\bin\ngs.sys"
.\debug.cpp(256) : 0xf28d2000 0x00070000 "\SystemRoot\System32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xf8746000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xf28ac000 0x00026000 "\SystemRoot\System32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xf86f6000 0x00009000 "\SystemRoot\System32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xf8716000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xf286c000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xf8a66000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c5000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf3aab000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xf886e000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xf8c0a000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf012000 0x0040d000 "\SystemRoot\System32\nv4_disp.dll"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xf8806000 0x00008000 "\SystemRoot\system32\DRIVERS\tifsfilt.sys"
.\debug.cpp(256) : 0xf125e000 0x00003000 "\??\c:\norman_viruscontrol\nse\bin\ndiskio.sys"
.\debug.cpp(256) : 0xf8adc000 0x00002000 "\SystemRoot\System32\Drivers\V7.SYS"
.\debug.cpp(256) : 0xf093a000 0x00004000 "\SystemRoot\System32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xf0701000 0x0002d000 "\SystemRoot\System32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xf8ab0000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xf080e000 0x00004000 "\SystemRoot\System32\Drivers\Aspi32.SYS"
.\debug.cpp(256) : 0xf05d4000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xf09d6000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xf050e000 0x0000d000 "\??\C:\Norman_VirusControl\Ngs\Bin\nregsec.sys"
.\debug.cpp(256) : 0xf036f000 0x00057000 "\SystemRoot\System32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xf011b000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS"
.\debug.cpp(256) : 0xefefa000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0xefc5d000 0x00027000 "\SystemRoot\system32\DRIVERS\nvcw32mf.sys"
.\debug.cpp(256) : 0xf8b15000 0x00001000 "\??\C:\Norman_VirusControl\Npm\Bin\NmchInjDrv.sys"
.\debug.cpp(256) : 0xef962000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination "\Device\Ndis"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) : Destination "\Device\CdRom0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\InCDfs"
.\debug.cpp(400) : Destination "\DosDevices\BsUDF"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination "\Device\Video0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination "\Device\Video1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{C8D0D8B1-4CF8-4404-BA04-51F0D04B0868}"
.\debug.cpp(400) : Destination "\Device\{C8D0D8B1-4CF8-4404-BA04-51F0D04B0868}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003d"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\OAKAFSUI"
.\debug.cpp(400) : Destination "\Device\OAKAFSUI"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\0000004d"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination "\Device\Ip"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRom_NEC_DVD_RW_ND-1300A____________________1.09____#5&2dfcc752&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T1L0-17"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination "\Device\Video2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) : Destination "\Device\CdRom1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination "\Device\IPSEC"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&61aaa01&0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000060"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination "\Device\Video3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{6994ad05-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003c"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\snapman"
.\debug.cpp(400) : Destination "\Device\snapman"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination "\Device\NDProxy"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TIFSFManager"
.\debug.cpp(400) : Destination "\Device\TIFSFManager"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&84e02d0&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{063512B5-348F-4179-9AD4-6CB0BB4F4625}"
.\debug.cpp(400) : Destination "\Device\{063512B5-348F-4179-9AD4-6CB0BB4F4625}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) : Destination "\Device\PxHelperDevice0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) : Destination "\Device\ParallelVdm0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\nprosec"
.\debug.cpp(400) : Destination "\Device\nprosec"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination "\Device\WMIDataDevice"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0F13#3&61aaa01&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\0000005d"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) : Destination "\Device\Serial0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM2"
.\debug.cpp(400) : Destination "\Device\Serial1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{a799a802-a46d-11d0-a18c-00a02401dcd4}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination "\Device\NamedPipe"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Lbd"
.\debug.cpp(400) : Destination "\Device\Lbd"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination "\Device\PSched"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination "\Device\Mup"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination "\Device\IPNAT"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AVG_AntiRootkit"
.\debug.cpp(400) : Destination "\Device\AVG_AntiRootkit"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination "\FileSystem\Filters\FltMgrMsg"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AcroVBus"
.\debug.cpp(400) : Destination "\Device\AcroVBus"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination "\Device\USBFDO-0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\INCD_PSEUDO_DEVICE"
.\debug.cpp(400) : Destination "\Device\INCD_PSEUDO_DEVICE"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination "\Device\Tcp"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\I2OExec"
.\debug.cpp(400) : Destination "\Device\I2OExec"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&a6badd5&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-4"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#AuthenticAMD_-_x86_Family_6_Model_6#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination "\Device\0000004a"
.\debug.cpp(409) : --
.\debug.cpp(369) : Device "\GLOBAL??\BsUDF"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination "\Device\VideoPdo0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&13c24081&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination "\Device\USBFDO-1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\00000041"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination "\Device\Harddisk0\DR0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskST380020A_______________________________3.34____#4733304337463048202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP0T0L0-3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination "\DosDevices\LPT1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GhPciScan"
.\debug.cpp(400) : Destination "\Device\GhPciScan"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) : Destination "\Device\USBFDO-2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\00000040"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) : Destination "\Device\CdRom0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\nregsec"
.\debug.cpp(400) : Destination "\Device\nregsec"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination "\Device\sysaudio"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination "\Device\FsWrap"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) : Destination "\Device\USBFDO-3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{a799a800-a46d-11d0-a18c-00a02401dcd4}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{8cf5c481-05d8-11d6-be4c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\CdRom0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) : Destination "\Device\CdRom1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbMmDp32"
.\debug.cpp(400) : Destination "\Device\MbMmDp32"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomSAMSUNG_DVD-ROM_SD-616F_________________F101____#5&2dfcc752&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T0L0-f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) : Destination "\Device\USBFDO-4"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination "\GLOBAL??"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{2721ae20-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\00000051"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{ed2a00a4-445c-11d8-878c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\CdRom1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination "\Device\0000005a"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{294202D1-3AC6-468A-80C6-21D69D6A5AF0}"
.\debug.cpp(400) : Destination "\Device\{294202D1-3AC6-468A-80C6-21D69D6A5AF0}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Paspi0"
.\debug.cpp(400) : Destination "\Device\Paspi0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) : Destination "\Device\PxHelperDevice0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&61aaa01&0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000060"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SBRE"
.\debug.cpp(400) : Destination "\Device\SBRE"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination "\Device\0000005b"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0110&SUBSYS_10811554&REV_B2#4&618ba55&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0012"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\0000004c"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\InCDfsComm"
.\debug.cpp(400) : Destination "\Device\InCDfsComm"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{a799a801-a46d-11d0-a18c-00a02401dcd4}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#3&61aaa01&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\0000005e"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) : Destination "\Device\0000005a"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_12340925&REV_1B#3&61aaa01&0&8B#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0010"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{9FF8268C-0BE3-40EB-A85B-1AC61019DB53}"
.\debug.cpp(400) : Destination "\Device\{9FF8268C-0BE3-40EB-A85B-1AC61019DB53}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MrwR00000000"
.\debug.cpp(400) : Destination "\Device\MrwR00000000"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MrwR00000001"
.\debug.cpp(400) : Destination "\Device\MrwR00000001"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination "\Device\MountPointManager"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISKIO"
.\debug.cpp(400) : Destination "\Device\NDISKIO"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\V7"
.\debug.cpp(400) : Destination "\Device\v7"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PNPC031#0000#{2c7089aa-2e0e-11d1-b114-00c04fc2aae4}"
.\debug.cpp(400) : Destination "\Device\00000042"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003b"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) : Destination "\Device\PxHelperDevice0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\0000004e"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination "\Device\WANARP"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Kommunikationskabel zwischen zwei Computern"
.\debug.cpp(400) : Destination "\Device\00000042"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\00000003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&30#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) : Destination "\Device\Floppy0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination "\Device\NdisWanIp"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination "\Device\Ide\IdePort0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{8cf5c480-05d8-11d6-be4c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\HarddiskVolume1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomSAMSUNG_DVD-ROM_SD-616F_________________F101____#5&2dfcc752&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T0L0-f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#3&61aaa01&0&40#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0004"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\OODrvLed"
.\debug.cpp(400) : Destination "\FileSystem\Filters\OODrvLed"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{8cf5c483-05d8-11d6-be4c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\Floppy0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8AFF8656Offset7E00Length12A1C90400#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\HarddiskVolume1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NGS"
.\debug.cpp(400) : Destination "\Device\NGS"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB02F#3&61aaa01&0#{cae56030-684a-11d0-d6f6-00a0c90f57da}"
.\debug.cpp(400) : Destination "\Device\0000005f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003e"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination "\Device\ParTechInc0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination "\Device\NdisTapi"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination "\Device\NdisWan"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination "\Device\Ide\IdePort1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination "\Device\IPMULTICAST"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) : Destination "\Device\Parallel0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0401#3&61aaa01&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) : Destination "\Device\0000005c"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3104&SUBSYS_31041106&REV_63#3&61aaa01&0&42#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0006"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&102a2049&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination "\Device\ParTechInc1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination "\Device\LanmanRedirector"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) : Destination "\Device\0000005b"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination "\Device\ParTechInc2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\INCDPASS_REAL_DEVICE00000000"
.\debug.cpp(400) : Destination "\Device\INCDPASS_REAL_DEVICE00000000"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#4&371082c9&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\FloppyPDO0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#4&11086fbe&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) : Destination "\Device\Parallel0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_12340925&REV_1B#3&61aaa01&0&8A#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0009"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&28f905c&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\INCDPASS_REAL_DEVICE00000001"
.\debug.cpp(400) : Destination "\Device\INCDPASS_REAL_DEVICE00000001"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination "\FileSystem\Filters\FltMgr"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination "\Device\FtControl"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination "\Device\HarddiskVolume1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination "\Device\MailSlot"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination "\DosDevices\COM1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E29B36E4-134B-45EA-BC4C-9853B98BBC3F}"
.\debug.cpp(400) : Destination "\Device\{E29B36E4-134B-45EA-BC4C-9853B98BBC3F}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination ""
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) : Destination "\Device\Ndisuio"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\00000044"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination "\Device\Null"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&61aaa01&0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000060"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\00000043"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRom_NEC_DVD_RW_ND-1300A____________________1.09____#5&2dfcc752&0&0.1.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T1L0-17"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#3&61aaa01&0&41#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0005"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0B10497D-2D8D-484C-9FBD-2CD9D783A409}"
.\debug.cpp(400) : Destination "\Device\{0B10497D-2D8D-484C-9FBD-2CD9D783A409}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{3CBF8E78-F2CD-4D35-B01A-CD513F55F006}"
.\debug.cpp(400) : Destination "\Device\{3CBF8E78-F2CD-4D35-B01A-CD513F55F006}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRom_NEC_DVD_RW_ND-1300A____________________1.09____#5&2dfcc752&0&0.1.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T1L0-17"
.\debug.cpp(409) : --
.\debug.cpp(453) : **********************************************
.\boot_cleaner.cpp(565) : System volume is \\.\C:
.\boot_cleaner.cpp(600) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(276) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1060) :
.\boot_cleaner.cpp(1061) : Size Device Name MBR Status
.\boot_cleaner.cpp(1062) : --------------------------------------------
.\boot_cleaner.cpp(1106) : 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1112) :
.\boot_cleaner.cpp(1151) : Done;


--- LOG Ende ---

Grüße von
Stefan

cosinus 03.10.2010 13:04
Zitat:
.\boot_cleaner.cpp(600) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(276) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1060) :
.\boot_cleaner.cpp(1061) : Size Device Name MBR Status
.\boot_cleaner.cpp(1062) : --------------------------------------------
.\boot_cleaner.cpp(1106) : 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Das Tool sagt zwar, der MBR sei ok, aber ich würde wegen der anderen Meldungen den MBR neu schreiben:

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

anfrage 05.10.2010 12:29
Wiederherstellungskonsole:
Bei "fixmbr" kam eine Warnmeldung, sinngemäß: dass der MBR verändert
sei, dass bei Ausführung von "fixmbr" die Gefahr bestehe, dass die
Partition nicht mehr zugreifbar ist.
Frage: Ist die Warnmeldung normal oder speziell?
Nach Ausführung von "fixmbr" kam ein "OK".
Dito nach Ausführung von "fixboot".

Hier nun das neue Log vom 5.10. von "Rootkit Remover":

--- LOG Beginn ---

.\debug.cpp(238) : Debug log started at 05.10.2010 - 12:33:52
.\boot_cleaner.cpp(527) : Bootkit Remover
.\boot_cleaner.cpp(528) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(529) : www.esagelab.com
.\boot_cleaner.cpp(533) : Program version: 1.2.0.0
.\boot_cleaner.cpp(540) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00217380 "\WINDOWS\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x806ef000 0x00020300 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xf8a36000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf8946000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf84e6000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf8a38000 0x00002000 "\WINDOWS\System32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xf84d5000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf8536000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf8a3a000 0x00002000 "avgarkt.sys"
.\debug.cpp(256) : 0xf8a3c000 0x00002000 "viaide.sys"
.\debug.cpp(256) : 0xf87b6000 0x00007000 "\WINDOWS\System32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf8546000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf84b6000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf87be000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf8556000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf849e000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf8566000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf8576000 0x0000d000 "\WINDOWS\System32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf847e000 0x00020000 "fltmgr.sys"
.\debug.cpp(256) : 0xf846c000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf8586000 0x0000f000 "Lbd.sys"
.\debug.cpp(256) : 0xf894a000 0x00003000 "pfc.sys"
.\debug.cpp(256) : 0xf894e000 0x00004000 "OODrvled.sys"
.\debug.cpp(256) : 0xf8596000 0x00009000 "PxHelp20.sys"
.\debug.cpp(256) : 0xf8455000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf83c8000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xf839b000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xf833b000 0x00060000 "timntr.sys"
.\debug.cpp(256) : 0xf85a6000 0x0000b000 "viaagp.sys"
.\debug.cpp(256) : 0xf831f000 0x0001c000 "snapman.sys"
.\debug.cpp(256) : 0xf87c6000 0x00005000 "ppa3.sys"
.\debug.cpp(256) : 0xf8305000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf87ce000 0x00007000 "iomdisk.sys"
.\debug.cpp(256) : 0xf8726000 0x0000b000 "\SystemRoot\System32\DRIVERS\amdk7.sys"
.\debug.cpp(256) : 0xf7a88000 0x00166000 "\SystemRoot\System32\DRIVERS\nv4_mini.sys"
.\debug.cpp(256) : 0xf7a5c000 0x00014000 "\SystemRoot\System32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf883e000 0x00006000 "\SystemRoot\System32\DRIVERS\RTL8139.SYS"
.\debug.cpp(256) : 0xf7a3f000 0x0001d000 "\SystemRoot\System32\DRIVERS\DzlDvc2p.sys"
.\debug.cpp(256) : 0xf8736000 0x0000d000 "\SystemRoot\System32\DRIVERS\STREAM.SYS"
.\debug.cpp(256) : 0xf7a1c000 0x00023000 "\SystemRoot\System32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xf8846000 0x00006000 "\SystemRoot\System32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xf79f8000 0x00024000 "\SystemRoot\System32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf8856000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf8756000 0x0000e000 "\SystemRoot\System32\Drivers\AFS2K.SYS"
.\debug.cpp(256) : 0xf8766000 0x00010000 "\SystemRoot\System32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xf8776000 0x0000f000 "\SystemRoot\System32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xf885e000 0x00008000 "\SystemRoot\System32\DRIVERS\InCDPass.sys"
.\debug.cpp(256) : 0xf8866000 0x00007000 "\SystemRoot\System32\Drivers\incdrm.SYS"
.\debug.cpp(256) : 0xf8606000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xf7996000 0x0003a000 "\SystemRoot\system32\drivers\ALCXWDM.SYS"
.\debug.cpp(256) : 0xf7972000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xf8616000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xf88ae000 0x00007000 "\SystemRoot\System32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xf8626000 0x00010000 "\SystemRoot\System32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xf82ad000 0x00004000 "\SystemRoot\System32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xf7551000 0x00014000 "\SystemRoot\System32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xf8636000 0x0000d000 "\SystemRoot\System32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xf88b6000 0x00006000 "\SystemRoot\System32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf88be000 0x00007000 "\SystemRoot\System32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf82a9000 0x00003000 "\SystemRoot\System32\DRIVERS\gameenum.sys"
.\debug.cpp(256) : 0xf8c86000 0x00001000 "\SystemRoot\system32\drivers\msmpu401.sys"
.\debug.cpp(256) : 0xf8c87000 0x00001000 "\SystemRoot\System32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf8646000 0x0000d000 "\SystemRoot\System32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf82a5000 0x00003000 "\SystemRoot\System32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf753a000 0x00017000 "\SystemRoot\System32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf7cd4000 0x0000b000 "\SystemRoot\System32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf7cb4000 0x0000c000 "\SystemRoot\System32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf88c6000 0x00005000 "\SystemRoot\System32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf7529000 0x00011000 "\SystemRoot\System32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf7ca4000 0x00009000 "\SystemRoot\System32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf8806000 0x00005000 "\SystemRoot\System32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf8816000 0x00005000 "\SystemRoot\System32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf8aa8000 0x00002000 "\SystemRoot\System32\Drivers\RootMdm.sys"
.\debug.cpp(256) : 0xf881e000 0x00008000 "\SystemRoot\System32\Drivers\Modem.SYS"
.\debug.cpp(256) : 0xf86f6000 0x0000a000 "\SystemRoot\System32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf8aaa000 0x00002000 "\SystemRoot\System32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf7456000 0x0005e000 "\SystemRoot\System32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf8a1e000 0x00004000 "\SystemRoot\System32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf7c74000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf8796000 0x0000f000 "\SystemRoot\System32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xf8ae6000 0x00002000 "\SystemRoot\System32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf891e000 0x00005000 "\SystemRoot\System32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xf79f4000 0x00003000 "\SystemRoot\System32\Drivers\i2omgmt.SYS"
.\debug.cpp(256) : 0xf518b000 0x00011000 "\??\C:\Norman_VirusControl\Ngs\Bin\nprosec.sys"
.\debug.cpp(256) : 0xf8af4000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xf8c33000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf8af6000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xf8c34000 0x00001000 "\SystemRoot\System32\DRIVERS\AvgArCln.sys"
.\debug.cpp(256) : 0xf8936000 0x00007000 "\??\C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys"
.\debug.cpp(256) : 0xf5175000 0x00016000 "\??\C:\WINDOWS\system32\drivers\SBREdrv.sys"
.\debug.cpp(256) : 0xf893e000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf8af8000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf8afa000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xf62c1000 0x00003000 "\SystemRoot\System32\Drivers\InCDrec.SYS"
.\debug.cpp(256) : 0xf513c000 0x00019000 "\SystemRoot\System32\Drivers\InCDfs.SYS"
.\debug.cpp(256) : 0xf88a6000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xf87e6000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xf62bd000 0x00003000 "\SystemRoot\System32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xf5129000 0x00013000 "\SystemRoot\System32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xf50d0000 0x00059000 "\SystemRoot\System32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xf50a8000 0x00028000 "\SystemRoot\System32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xf5086000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xf85d6000 0x00009000 "\SystemRoot\System32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xf505b000 0x0002b000 "\SystemRoot\System32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xf87ee000 0x00005000 "\??\c:\norman_viruscontrol\ngs\bin\ngs.sys"
.\debug.cpp(256) : 0xf4fc3000 0x00070000 "\SystemRoot\System32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xf8746000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xf4f9d000 0x00026000 "\SystemRoot\System32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xf85f6000 0x00009000 "\SystemRoot\System32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xf7c64000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xf4ee5000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xf8a44000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c5000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf51c0000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xf87f6000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xf8b59000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf012000 0x0040d000 "\SystemRoot\System32\nv4_disp.dll"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xf31c5000 0x00008000 "\SystemRoot\system32\DRIVERS\tifsfilt.sys"
.\debug.cpp(256) : 0xf4ebd000 0x00003000 "\??\c:\norman_viruscontrol\nse\bin\ndiskio.sys"
.\debug.cpp(256) : 0xf8aee000 0x00002000 "\SystemRoot\System32\Drivers\V7.SYS"
.\debug.cpp(256) : 0xf175b000 0x00004000 "\SystemRoot\System32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xf101a000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xf10b7000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xf0ed7000 0x0002d000 "\SystemRoot\System32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xf8a66000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xf1133000 0x00004000 "\SystemRoot\System32\Drivers\Aspi32.SYS"
.\debug.cpp(256) : 0xf1067000 0x0000d000 "\??\C:\Norman_VirusControl\Ngs\Bin\nregsec.sys"
.\debug.cpp(256) : 0xf0bd0000 0x00057000 "\SystemRoot\System32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xf08dc000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS"
.\debug.cpp(256) : 0xf075b000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0xf0734000 0x00027000 "\SystemRoot\system32\DRIVERS\nvcw32mf.sys"
.\debug.cpp(256) : 0xf8c09000 0x00001000 "\??\C:\Norman_VirusControl\Npm\Bin\NmchInjDrv.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) : Destination "\Device\CdRom0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination "\Device\Ndis"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\InCDfs"
.\debug.cpp(400) : Destination "\DosDevices\BsUDF"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination "\Device\Video0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination "\Device\Video1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{C8D0D8B1-4CF8-4404-BA04-51F0D04B0868}"
.\debug.cpp(400) : Destination "\Device\{C8D0D8B1-4CF8-4404-BA04-51F0D04B0868}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003d"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\OAKAFSUI"
.\debug.cpp(400) : Destination "\Device\OAKAFSUI"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\0000004d"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination "\Device\Ip"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRom_NEC_DVD_RW_ND-1300A____________________1.09____#5&2dfcc752&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T1L0-17"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination "\Device\Video2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) : Destination "\Device\CdRom1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination "\Device\IPSEC"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&61aaa01&0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000060"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination "\Device\Video3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{6994ad05-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003c"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\snapman"
.\debug.cpp(400) : Destination "\Device\snapman"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination "\Device\NDProxy"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TIFSFManager"
.\debug.cpp(400) : Destination "\Device\TIFSFManager"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&84e02d0&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{063512B5-348F-4179-9AD4-6CB0BB4F4625}"
.\debug.cpp(400) : Destination "\Device\{063512B5-348F-4179-9AD4-6CB0BB4F4625}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) : Destination "\Device\PxHelperDevice0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) : Destination "\Device\ParallelVdm0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\nprosec"
.\debug.cpp(400) : Destination "\Device\nprosec"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination "\Device\WMIDataDevice"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0F13#3&61aaa01&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\0000005d"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) : Destination "\Device\Serial0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM2"
.\debug.cpp(400) : Destination "\Device\Serial1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{a799a802-a46d-11d0-a18c-00a02401dcd4}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination "\Device\NamedPipe"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Lbd"
.\debug.cpp(400) : Destination "\Device\Lbd"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination "\Device\PSched"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination "\Device\Mup"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination "\Device\IPNAT"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AVG_AntiRootkit"
.\debug.cpp(400) : Destination "\Device\AVG_AntiRootkit"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination "\FileSystem\Filters\FltMgrMsg"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination "\Device\USBFDO-0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\INCD_PSEUDO_DEVICE"
.\debug.cpp(400) : Destination "\Device\INCD_PSEUDO_DEVICE"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination "\Device\Tcp"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\I2OExec"
.\debug.cpp(400) : Destination "\Device\I2OExec"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&a6badd5&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-4"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#AuthenticAMD_-_x86_Family_6_Model_6#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination "\Device\0000004a"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AcroVBus"
.\debug.cpp(400) : Destination "\Device\AcroVBus"
.\debug.cpp(409) : --
.\debug.cpp(369) : Device "\GLOBAL??\BsUDF"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination "\Device\VideoPdo0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&13c24081&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination "\Device\USBFDO-1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\00000041"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination "\Device\Harddisk0\DR0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskST380020A_______________________________3.34____#4733304337463048202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP0T0L0-3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination "\DosDevices\LPT1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GhPciScan"
.\debug.cpp(400) : Destination "\Device\GhPciScan"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) : Destination "\Device\USBFDO-2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\00000040"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) : Destination "\Device\CdRom0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\nregsec"
.\debug.cpp(400) : Destination "\Device\nregsec"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination "\Device\sysaudio"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination "\Device\FsWrap"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) : Destination "\Device\USBFDO-3"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{a799a800-a46d-11d0-a18c-00a02401dcd4}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{8cf5c481-05d8-11d6-be4c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\CdRom0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) : Destination "\Device\CdRom1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbMmDp32"
.\debug.cpp(400) : Destination "\Device\MbMmDp32"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomSAMSUNG_DVD-ROM_SD-616F_________________F101____#5&2dfcc752&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T0L0-f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) : Destination "\Device\USBFDO-4"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination "\GLOBAL??"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{2721ae20-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\00000051"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{ed2a00a4-445c-11d8-878c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\CdRom1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination "\Device\0000005a"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{294202D1-3AC6-468A-80C6-21D69D6A5AF0}"
.\debug.cpp(400) : Destination "\Device\{294202D1-3AC6-468A-80C6-21D69D6A5AF0}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Paspi0"
.\debug.cpp(400) : Destination "\Device\Paspi0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) : Destination "\Device\PxHelperDevice0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&61aaa01&0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000060"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SBRE"
.\debug.cpp(400) : Destination "\Device\SBRE"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination "\Device\0000005b"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0110&SUBSYS_10811554&REV_B2#4&618ba55&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0012"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\0000004c"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\InCDfsComm"
.\debug.cpp(400) : Destination "\Device\InCDfsComm"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_123F&DEV_8120&SUBSYS_00011655&REV_B1#3&61aaa01&0&38#{a799a801-a46d-11d0-a18c-00a02401dcd4}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#3&61aaa01&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\0000005e"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) : Destination "\Device\0000005a"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_12340925&REV_1B#3&61aaa01&0&8B#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0010"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{9FF8268C-0BE3-40EB-A85B-1AC61019DB53}"
.\debug.cpp(400) : Destination "\Device\{9FF8268C-0BE3-40EB-A85B-1AC61019DB53}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MrwR00000000"
.\debug.cpp(400) : Destination "\Device\MrwR00000000"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MrwR00000001"
.\debug.cpp(400) : Destination "\Device\MrwR00000001"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination "\Device\MountPointManager"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISKIO"
.\debug.cpp(400) : Destination "\Device\NDISKIO"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\V7"
.\debug.cpp(400) : Destination "\Device\v7"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#PNPC031#0000#{2c7089aa-2e0e-11d1-b114-00c04fc2aae4}"
.\debug.cpp(400) : Destination "\Device\00000042"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003b"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) : Destination "\Device\PxHelperDevice0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination "\Device\0000004e"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination "\Device\WANARP"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Kommunikationskabel zwischen zwei Computern"
.\debug.cpp(400) : Destination "\Device\00000042"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\00000003"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&30#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) : Destination "\Device\Floppy0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination "\Device\NdisWanIp"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination "\Device\KSENUM#00000002"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination "\Device\Ide\IdePort0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{8cf5c480-05d8-11d6-be4c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\HarddiskVolume1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomSAMSUNG_DVD-ROM_SD-616F_________________F101____#5&2dfcc752&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T0L0-f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#3&61aaa01&0&40#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0004"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\OODrvLed"
.\debug.cpp(400) : Destination "\FileSystem\Filters\OODrvLed"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{8cf5c483-05d8-11d6-be4c-806d6172696f}"
.\debug.cpp(400) : Destination "\Device\Floppy0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8AFF8656Offset7E00Length12A1C90400#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\HarddiskVolume1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3059&SUBSYS_53601462&REV_10#3&61aaa01&0&8D#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0011"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NGS"
.\debug.cpp(400) : Destination "\Device\NGS"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB02F#3&61aaa01&0#{cae56030-684a-11d0-d6f6-00a0c90f57da}"
.\debug.cpp(400) : Destination "\Device\0000005f"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination "\Device\0000003e"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination "\Device\ParTechInc0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination "\Device\00000045"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination "\Device\NdisTapi"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination "\Device\NdisWan"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination "\Device\Ide\IdePort1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination "\Device\IPMULTICAST"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) : Destination "\Device\Parallel0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0401#3&61aaa01&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) : Destination "\Device\0000005c"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3104&SUBSYS_31041106&REV_63#3&61aaa01&0&42#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0006"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&102a2049&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination "\Device\ParTechInc1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination "\Device\LanmanRedirector"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) : Destination "\Device\0000005b"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination "\Device\ParTechInc2"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\INCDPASS_REAL_DEVICE00000000"
.\debug.cpp(400) : Destination "\Device\INCDPASS_REAL_DEVICE00000000"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#4&371082c9&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\FloppyPDO0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#4&11086fbe&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) : Destination "\Device\Parallel0"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_12340925&REV_1B#3&61aaa01&0&8A#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0009"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&28f905c&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination "\Device\USBPDO-1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\INCDPASS_REAL_DEVICE00000001"
.\debug.cpp(400) : Destination "\Device\INCDPASS_REAL_DEVICE00000001"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination "\FileSystem\Filters\FltMgr"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination "\Device\FtControl"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination "\Device\HarddiskVolume1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination "\Device\MailSlot"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination "\DosDevices\COM1"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E29B36E4-134B-45EA-BC4C-9853B98BBC3F}"
.\debug.cpp(400) : Destination "\Device\{E29B36E4-134B-45EA-BC4C-9853B98BBC3F}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination ""
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) : Destination "\Device\Ndisuio"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\00000044"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination "\Device\Null"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&61aaa01&0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination "\Device\00000060"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination "\Device\00000043"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRom_NEC_DVD_RW_ND-1300A____________________1.09____#5&2dfcc752&0&0.1.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T1L0-17"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#3&61aaa01&0&41#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination "\Device\NTPNP_PCI0005"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0B10497D-2D8D-484C-9FBD-2CD9D783A409}"
.\debug.cpp(400) : Destination "\Device\{0B10497D-2D8D-484C-9FBD-2CD9D783A409}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{3CBF8E78-F2CD-4D35-B01A-CD513F55F006}"
.\debug.cpp(400) : Destination "\Device\{3CBF8E78-F2CD-4D35-B01A-CD513F55F006}"
.\debug.cpp(409) : --
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRom_NEC_DVD_RW_ND-1300A____________________1.09____#5&2dfcc752&0&0.1.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) : Destination "\Device\Ide\IdeDeviceP1T1L0-17"
.\debug.cpp(409) : --
.\debug.cpp(453) : **********************************************
.\boot_cleaner.cpp(565) : System volume is \\.\C:
.\boot_cleaner.cpp(600) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(276) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1060) :
.\boot_cleaner.cpp(1061) : Size Device Name MBR Status
.\boot_cleaner.cpp(1062) : --------------------------------------------
.\boot_cleaner.cpp(1106) : 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1112) :
.\boot_cleaner.cpp(1151) : Done;

--- LOG Ende ---

Grüße von
Stefan

cosinus 05.10.2010 19:25
Zitat:
.\boot_cleaner.cpp(1106) : 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Ja die zweite Warnung von fixmbr ist okay. MS denkt, seine Kinder sollen halt zweimal drüber nachdenken :D :D wenn sie einen MBR neu schreiben wollen.
Aber wie Du oben siehst, ist der MBR nun auch wieder ok.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

anfrage 06.10.2010 11:41
Zitat:
Zitat von cosinus (Beitrag 575368)
Ja die zweite Warnung von fixmbr ist okay. MS denkt, seine Kinder sollen halt zweimal drüber nachdenken :D :D wenn sie einen MBR neu schreiben wollen.
Aber wie Du oben siehst, ist der MBR nun auch wieder ok.
Vorabkommentar:
Wieso "nun auch wieder ok"?
Die Egebnisanzeige unterscheidet sich nicht von den entsprechenden
Zeilen des Logs von Bootkit-Remover vor dem fixmbr.

Zitat:
Zitat von cosinus (Beitrag 575368)
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
Die beiden Logs kommen gleich.
Grüße von
Stefan

anfrage 06.10.2010 12:47
Das Ergebnis des Malwarebytes-Vollscan ist düster.
Es "genügt" meine Antwort vom 25.8. zu zitieren:

Zitat:
Zitat von anfrage (Beitrag 559998)
Noch mal zum Malwarebytes-Scan:
Habe ihn gerade abgebrochen. Prozess "keine Rückmeldung".
Das Programm scannt ja offensichtlich NICHT zuerst den Arbeitspaltz, sondern "system32" und das vermutlch alfabetisch.
Hier mal die Dateien von dort in alphabetischer Reihenfolge:
$winnt$.inf
_psisdecd.dll (die von Mbam angezeigt wird; ihre Funktion: Microsoft SI/PSI parser for MPEG2 based networks. DirektShow)
6to4svc.dll <-- ich vermute HIER stoppt der Scan; ihre Funktion: Service that offers IPv6 connectivity over an IPv4 network.)

Könnte da was faul sein?
Grüße
Stefan
Da ich nach wie vor davon ausgehe, dass der Scan *nicht* bei der angezeigten Datei, sondern bei der nachfolgenden Datei stoppt.
Frage: weshalb "stolpert" Malwarebytes über "6to4svc.dll"?

Der andere Scan folgt in ein paar Stunden.
Grüße von
Stefan

cosinus 06.10.2010 15:35
Zitat:
Wieso "nun auch wieder ok"?
Die Egebnisanzeige unterscheidet sich nicht von den entsprechenden
Weil ich vorher Hinweise auf einen infizierten MBR hatte! Ich hatte doch geschrieben, dass der MBR zwar als ok angezeigt wird, wir aber sicherheitshalber den dennoch neu schreiben!

Zitat:
Frage: weshalb "stolpert" Malwarebytes über "6to4svc.dll"?
Das kann ich Dir nicht sagen. Malwarebytes ist bisher noch nie an dieser Stelle gestolpert.

anfrage 06.10.2010 16:53
SASW war leider ein Fehlschlag.

1. SASW-Download: OK
2. SASW-Install: im vorgeschlagenen Verzeichnis c:\programme\...: OK
Meine Absicht, SASW *nicht* in *dieses* Verzeichnis zu installieren,
habe ich dann doch nicht realisiert, weil ich bei der Auswahl über
"Arbeitsplatz" hätte gehen müssen. Was ja leider immer zum Einfrieren
des Explorers führt! (Nun ja, ob das Einfrieren weiterhin passiert, müsste
ich erneut überprüfen.)
3. Einrichtung des Programms nach der Anleitung erst mal ok bis...
4. Das Drücken des Buttons "Scan Location"
(bzw. in deutsch: "Ihren Computer untersuchen..." führt zum Absturz.
Der Taskmanager vermerkt "Keine Rückmeldung" (übrigens wird hier
SUPERAntiSpyware 2x aufgeführt - 2x "keine Rückmeldung").

Ich will mich jetzt nicht zum Experten aufschwingen, aber das kann
nur damit zusammen hängen, dass der "Arbeitsplatz" und damit die
Auswahl der Laufwerke *nicht zugänglich*/*gesperrt" whatsoever sind.

Noch was fieses: ich kann das hängende SASW *nicht* über den
Taskmanager abschießen.
Es kommt ein "Fehler"-Fenster: "Das Programm kann nicht beendet werden,
weil es durch das System gesperrt ist."
Sehr ungut!
Ich werde nach Absetzen dieses Postings wohl meinen PC strommäßig
abknipsen müssen.

Frage: könnte es eventuell helfen, SASW zu deinstallieren und neu auf
dem DESKTOP in ein Verzeichnis zu installieren?

Grüße von
Stefan

cosinus 06.10.2010 19:54
Zitat:
Frage: könnte es eventuell helfen, SASW zu deinstallieren und neu auf
dem DESKTOP in ein Verzeichnis zu installieren?
Ich seh da wenig Sinn drin. Ich hab das Gefühl, dass entweder eine der Hardwarekomponenten einen Schuss hat oder Deine Windows-Installation.

Hardwareprobleme kannst Du definitiv ausschließen?
Irgendwie hab ich den Eindruck wir doktorn hier schon sehr lange rum, Anhaltspunkte, dass diese Probleme durch Schädlinge hervorgerufen wurden hab ich AFAIR bisher nicht.

Check mal Deine Hardware mit geeigneten Diagnosetools durch, zB die Festplatte mit dem Diagnosetools des Herstellers, geht auch sowas wie WinDLG von Western Digital unter Windows, läuft auch mit Platten, die nicht von WD sind. Außerdem könntest Du mal den Arbeitsspeicher mit Memtest86+ testen.

anfrage 07.10.2010 18:04
Zitat:
Zitat von cosinus (Beitrag 575722)
Ich seh da wenig Sinn drin. Ich hab das Gefühl, dass entweder eine der Hardwarekomponenten einen Schuss hat oder Deine Windows-Installation.
OK. Lass ich sein.

Zitat:
Zitat von cosinus (Beitrag 575722)
Hardwareprobleme kannst Du definitiv ausschließen?
Nein. Kann ich nicht. Aber s.u.

Zitat:
Zitat von cosinus (Beitrag 575722)
Irgendwie hab ich den Eindruck wir doktorn hier schon sehr lange rum, Anhaltspunkte, dass diese Probleme durch Schädlinge hervorgerufen wurden hab ich AFAIR bisher nicht.
Dei lange Zeit geht 100% auf mein Konto. :-(
Allerdings zeigt die Anzahl der Postings, dass wir wirklich nicht entscheidend
in der Erkennung der Ursachen oder der Beseitigung vorangekommen sind.

Zitat:
Zitat von cosinus (Beitrag 575722)
Check mal Deine Hardware mit geeigneten Diagnosetools durch, zB die Festplatte mit dem Diagnosetools des Herstellers, geht auch sowas wie WinDLG von Western Digital unter Windows, läuft auch mit Platten, die nicht von WD sind. Außerdem könntest Du mal den Arbeitsspeicher mit Memtest86+ testen.
Mache ich. Und poste hier die Ergebnisse.

Wie o.g., kann ich Harwareprobleme nicht gänzlich ausschließen.
Aber jetzt muss ich doch den Anfang des Threads in Erinnerung rufen:

Es geht um *ZWEI* PCs!
(Auch wenn ich die bisherigen Scan/Diagnose/Reparatur-Arbeiten nur an
einem PC ausgeführt habe, in der Hoffnung nach Erfolg die Reparatur auch
auf den zweiten PC anwenden zu können).

BEIDE PCs haben fast zeitgleich begonnen, die schlimmen Symptome
zu zeigen:
1. Der Windows-Explorer kann den Ordner "Arbeitsplatz" nicht anzeigen.
Der Explorer friert dann ein.
2. Die PCs lassen sich nicht herunterfahren bzw. neu starten.
Im Shutdown-Prozess wird "Einstellungen speichern" noch ausgeführt
"Windows wird heruntergefahren" bleibt aber ewig stehen.
Die PCs lassen sich nur vom Stromnetz nehmen.
Und die "Sperrung" von Arbeitsplatz -so nehme ich an-, hat die üblen Folgen,
dass diverse Antimalwareprogramme nicht scannen können.

Beide PCs haben Windows XP (SP3). Aber unterschiedliche Hardware:
- Prozessor
- Festplatte(n)
- Netzwerkkarte
- Grafikarte
Wie wahrscheinlich ist dann das gleichzeitige Auftreten dieser Symptome?

Was natürlich beide PCs gemeinsam haben, ist diverse Software mit deren
Softwareupdates:
- Windows
- Acrobat Reader
- Java (JRE)
- Norman Antivirus
- Lavasoft Ad-Aware
- diiverse andere Sicherheits- u. sonstige Software

Da könnte eventuell der Hund begraben liegen.
Allerdings: für "zufällige" Software-Inkompatibilitäten erscheinen mir die
Symptome zu "bösartig".

Übrigens,
- konnte ich SASW dann doch als Prozess killen
- wie mir erst jetzt aufgefallen ist, taucht der User "NT Autorität"
im Taskmanager nicht mehr als "User" auf.
- kann ich diverse Programme NICHT killen: z.B. Filezilla(!) dafür bringt
Ad-Aware zuletzt immer die Fehlermeldung, dass es unerwartet beendet
wurde und ob ich eine Meldung senden will. Seltsam!

Frage: ist es sinnvoll Windows im Debug-Modus zu starten, um zu sehen,
ob beim Windows-Start ungewöhnliche Dinge vorgehen?

Jetzt aber erst mal der Hardware/Festplatten-Test.
Viele Grüße
Stefan

cosinus 07.10.2010 19:27
Zitat:
Frage: ist es sinnvoll Windows im Debug-Modus zu starten, um zu sehen,
ob beim Windows-Start ungewöhnliche Dinge vorgehen?
ich wüsste nicht was man da sehen sollte. Den Debugmodus nutze ich nie.
Warte mal ab was die hardwaretests ergeben.

Notfalls mach mal ein Image eines Systems zB mit Acronis TrueImage oder Drivesnapshot (Image natürlich extern wegspeichern oder brennen) und setz den Rechner neu auf. Dann kannst Du nach und nach Software installieren und ab einem Punkt wirst Du beobachten wann das Phänomen auftritt, wenn es denn auftritt - ich weiß kostet alles Zeit, aber Du willst ja wissen woran es liegt ;) und durch das Image kommst Du wieder so zurück wie es vor der Test-Neuinstallation war :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131