Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unbekannter Windows Dienst "WWY" (https://www.trojaner-board.de/96527-unbekannter-windows-dienst-wwy.html)

GoRilla42 14.03.2011 20:04
Unbekannter Windows Dienst "WWY"
 
Hallo in die Runde,

kennt jemand von Euch den Dienst "WWY" (WinXP)?
Ich habe diesen Dienst kürzlich auf meinem PC entdeckt und kann damit nichts anfangen. Es gibt zu dem Dienst keine weiteren Informationen und auch keinen Vrweis auf irgendeine .exe...

Mein Computer läuft eigentlich soweit ganz normal ohne Zicken aber ich bin dennoch besorgt, daß ich mir da was eingefangen habe.

Scans mit Avast und Malwarebytes haben nichts ergeben.

Weiß jemand Rat?

Danke!

cosinus 15.03.2011 11:50
1.) Poste bitte alle Logs von Malwarebytes auch wenn keine Funde dabei waren!

2.) Erstell Logs mit OTL.exe und poste sie

3.) Stimmt deine Signatur noch so? XPSP2 ist völlig veraltet, das SP3 ist Pflicht. Und eine PFW (auch von Sunbelt) ist kontraproduktiv.

GoRilla42 15.03.2011 17:34
Hallo Arne,

danke, daß du Dich meiner annimmst!

1) Malwarebyte-Logs:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6067

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.03.2011 16:58:12
mbam-log-2011-03-15 (16-58-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163520
Laufzeit: 2 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5979

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

10.03.2011 01:41:04
mbam-log-2011-03-10 (01-41-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 229606
Laufzeit: 51 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------

2) OTL-LogsOTL Logfile:
Code:
OTL logfile created on: 15.03.2011 17:04:23 - Run 1
OTL by OldTimer - Version 3.2.22.3    Folder = E:\DOWNLOAD\Utilities\SECURITY
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): F:\pagefile.sys 768 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 14,65 Gb Total Space | 4,47 Gb Free Space | 30,50% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 1,25 Gb Free Space | 8,56% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 2,36 Gb Free Space | 9,68% Space Free | Partition Type: NTFS
Drive F: | 22,98 Gb Total Space | 3,35 Gb Free Space | 14,60% Space Free | Partition Type: NTFS
Drive H: | 363,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 533,75 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: HAL9000 | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - E:\DOWNLOAD\Utilities\SECURITY\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - D:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - D:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - E:\DOWNLOAD\Utilities\Proxomitron4.51-S-3.3.2\Proxomitron.exe ()
PRC - D:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe (Sunbelt Software)
PRC - D:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (Sunbelt Software)
PRC - D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - E:\DOWNLOAD\Utilities\SECURITY\OTL.exe (OldTimer Tools)
MOD - D:\Programme\Alwil Software\Avast5\snxhk.dll (AVAST Software)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (WWY) --  File not found
SRV - (Pml Driver HPZ12) --  File not found
SRV - (Net Driver HPZ12) --  File not found
SRV - (HidServ) --  File not found
SRV - (gusvc) --  File not found
SRV - (avast! Antivirus) -- D:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (NMSAccess) -- D:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (CodeMeter.exe) -- D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe (WIBU-SYSTEMS AG)
SRV - (SPF4) -- D:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (Sunbelt Software)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)
DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (1612midi) -- C:\WINDOWS\system32\drivers\1612midi.sys (Hercules)
DRV - (1612wav) Hercules 16/12 FW Audio Device (WDM) -- C:\WINDOWS\system32\drivers\1612Wav.sys (Hercules)
DRV - (1612FW) -- C:\WINDOWS\system32\drivers\1612FW.sys (Hercules)
DRV - (khips) -- C:\WINDOWS\system32\drivers\khips.sys (Sunbelt Software)
DRV - (fwdrv) -- C:\WINDOWS\system32\drivers\fwdrv.sys (Sunbelt Software)
DRV - (vncdrv) -- C:\WINDOWS\system32\drivers\vncdrv.sys (RDV Soft)
DRV - (vnccom) -- C:\WINDOWS\system32\drivers\vnccom.SYS (RDV Soft)
DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( )
DRV - (d347bus) -- C:\WINDOWS\System32\DRIVERS\d347bus.sys ( )
DRV - (1612GSIF) -- C:\WINDOWS\system32\drivers\1612gsif.sys (Hercules)
DRV - (b57w2k) Broadcom NetLink (TM) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH)
DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudios.sys (VIA Technologies, Inc.)
DRV - (MagixASIODrv) -- D:\Programme\Magix\Samplitude_11\mxasio.sys (MAGIX AG)
DRV - (Aspi32) -- C:\WINDOWS\System32\drivers\aspi32.sys (Adaptec)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://barrierefrei.e-workers.de/workshops/ie-fun/index.html
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8080;https=127.0.0.1:8080
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: D:\Programme\Mozilla Firefox\components [2011.03.09 19:36:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2011.03.07 15:48:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.03.05 16:57:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.02.19 13:14:55 | 000,000,000 | ---D | M]
 
[2010.12.28 19:16:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.12.28 19:16:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.03.15 00:04:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions
[2011.02.19 16:58:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{12bc3590-67a6-11de-8a39-0800200c9a66}
[2011.02.20 21:16:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{1a46a8a0-3278-11dd-bd11-0800200c9a66}
[2011.03.03 22:47:27 | 000,000,000 | ---D | M] (Stylish) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}
[2010.12.28 20:33:06 | 000,000,000 | ---D | M] (NewsFox) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{899DF1F8-2F43-4394-8315-37F6744E6319}
[2011.01.10 18:55:38 | 000,000,000 | ---D | M] (Web Developer) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010.12.28 18:34:25 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.03.11 15:07:32 | 000,000,000 | ---D | M] ("BetterPrivacy") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
[2011.02.19 16:58:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{D46E8522-6E86-44b1-A622-58C0668AD78E}
[2011.03.11 22:39:38 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010.12.28 18:34:25 | 000,000,000 | ---D | M] ("Cookie Button") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d832c3e4-1a62-48ea-9a1f-5091a1ec3bc5}
[2011.01.27 17:43:21 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.12.28 20:34:10 | 000,000,000 | ---D | M] (Add Bookmark Here ²) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\abhere2@moztw.org
[2011.03.12 23:34:21 | 000,000,000 | ---D | M] (Element Hiding Helper for Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\elemhidehelper@adblockplus.org
[2010.12.28 20:41:06 | 000,000,000 | ---D | M] (external IP) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\externalip@erik.morlin
[2011.02.20 12:22:16 | 000,000,000 | ---D | M] (DOM Inspector) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\inspector@mozilla.org
[2010.12.28 19:20:55 | 000,000,000 | ---D | M] (OptimizeGoogle) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\optimizegoogle@optimizegoogle.com
[2010.12.28 20:52:07 | 000,000,000 | ---D | M] (ScrapBook Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\scrapbookplus@addons.mozilla.org
[2011.01.05 19:20:40 | 000,000,000 | ---D | M] ("Simple Timer + Clocks") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\simpletimerClocks@grbradt.org
[2011.02.04 16:13:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ima65l0d.default\extensions
[2011.03.01 14:29:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Sunbird\Profiles\yha4qha5.default\extensions
[2011.03.15 00:04:51 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2011.02.19 17:14:11 | 000,000,000 | ---D | M] (Java Console) -- D:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.02.19 17:13:28 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- D:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.12.03 19:14:08 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 19:14:08 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.01.19 19:02:35 | 000,000,143 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\foxsearch.src
[2010.12.03 19:14:08 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.03 19:14:08 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.03 19:14:08 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.12.29 12:10:26 | 000,431,168 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        .archivioadulti.com
O1 - Hosts: 127.0.0.1        .internet-explorer.name
O1 - Hosts: 127.0.0.1        .katasearch.com
O1 - Hosts: 127.0.0.1        .preferiti-windows.com
O1 - Hosts: 127.0.0.1        .qoogler.com
O1 - Hosts: 127.0.0.1        .tuttoavolonta.com
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        123topsearch.com
O1 - Hosts: 127.0.0.1        www.123topsearch.com
O1 - Hosts: 14843 more lines...
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (&Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [avast5] D:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [DAEMON Tools-1033] D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Proxomitron.lnk = E:\DOWNLOAD\Utilities\Proxomitron4.51-S-3.3.2\Proxomitron.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 01 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 01 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 01 00 00 00  [binary data]
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.220.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 () -
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.02 12:28:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.03.15 01:15:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2011.03.14 17:39:11 | 000,000,000 | ---D | C] -- D:\Programme\Windows Installer Clean Up
[2011.03.14 17:38:34 | 000,000,000 | ---D | C] -- D:\Programme\MSECACHE
[2011.03.14 15:22:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Systenance
[2011.03.14 15:22:20 | 000,000,000 | ---D | C] -- D:\Programme\Index.dat Analyzer
[2011.03.12 23:47:37 | 000,000,000 | ---D | C] -- E:\000 Eigene Dateien\Downloads
[2011.03.06 15:36:42 | 000,729,088 | ---- | C] (Hewlett-Packard) -- C:\WINDOWS\System32\hpowiax7.dll
[2011.03.06 15:36:42 | 000,372,736 | ---- | C] (Hewlett-Packard) -- C:\WINDOWS\System32\hppldcoi.dll
[2011.03.06 15:36:41 | 000,581,632 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpotscl6.dll
[2011.03.06 15:36:41 | 000,309,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\difxapi.dll
[2011.03.06 15:36:41 | 000,303,104 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpovst15.dll
[2011.02.23 13:50:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help
[2011.02.20 20:22:32 | 000,069,632 | ---- | C] (sTEAKS iNC!) -- C:\WINDOWS\System32\tFade2.scr
[2011.02.19 17:16:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.02.19 17:13:59 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.02.19 17:13:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.02.19 17:13:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.02.19 17:13:22 | 000,000,000 | ---D | C] -- D:\Programme\Java
[2011.02.19 13:13:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime
[2011.02.19 13:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2011.02.19 12:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe
[2011.02.18 14:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\DB Tickets
[2011.02.15 18:14:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Plakat-Aufrufe
[2008.03.03 21:42:56 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2008.03.03 21:42:56 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.03.15 11:04:50 | 000,021,828 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.03.15 11:03:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.14 21:48:18 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HP dateien.lnk
[2011.03.14 19:16:39 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\u64f4pck.exe
[2011.03.14 18:35:37 | 000,023,447 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err
[2011.03.14 18:20:41 | 000,000,042 | ---- | M] () -- C:\WINDOWS\System32\scud.udf
[2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\w3data.vss
[2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\msvcsv60.dll
[2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\msocreg32.dat
[2011.03.11 10:25:53 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.10 15:43:16 | 000,002,427 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Excel 2003.lnk
[2011.03.10 15:43:07 | 000,002,395 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2003.lnk
[2011.03.08 19:55:27 | 000,023,119 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2011.02.20 19:48:45 | 000,004,955 | ---- | M] () -- E:\000 Eigene Dateien\000-Augenschonendtheme.Theme
[2011.02.20 19:23:37 | 000,007,168 | ---- | M] () -- C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys
[2011.02.20 16:20:48 | 000,000,370 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\LAN-Verbindung.lnk
[2011.02.19 17:13:27 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2011.02.19 17:13:27 | 000,157,472 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.02.19 17:13:27 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.02.19 17:13:27 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.02.19 17:13:27 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2011.02.19 13:55:18 | 000,000,754 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\JavaRa.exe.lnk
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.03.14 21:48:18 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HP dateien.lnk
[2011.03.14 19:16:38 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\u64f4pck.exe
[2011.03.14 18:20:41 | 000,000,042 | ---- | C] () -- C:\WINDOWS\System32\scud.udf
[2011.03.14 17:39:11 | 000,002,207 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Windows Install Clean Up.lnk
[2011.03.08 19:55:27 | 000,023,119 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2011.02.20 19:48:45 | 000,004,955 | ---- | C] () -- E:\000 Eigene Dateien\000-Augenschonendtheme.Theme
[2011.02.20 16:20:48 | 000,000,370 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\LAN-Verbindung.lnk
[2011.02.19 13:55:18 | 000,000,754 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\JavaRa.exe.lnk
[2011.02.11 14:12:25 | 000,000,335 | ---- | C] () -- C:\WINDOWS\mozregistry.dat
[2011.01.30 13:28:15 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2010.12.31 09:35:04 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.12.30 18:40:32 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\msvcsv60.dll
[2010.12.30 18:40:32 | 000,000,016 | ---- | C] () -- C:\WINDOWS\msocreg32.dat
[2010.12.28 21:48:41 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys
[2010.12.01 10:15:03 | 000,187,383 | ---- | C] () -- C:\WINDOWS\hpoins28.dat.temp
[2010.12.01 10:15:03 | 000,000,752 | ---- | C] () -- C:\WINDOWS\hpomdl28.dat.temp
[2010.06.16 19:35:58 | 000,000,049 | ---- | C] () -- C:\WINDOWS\SamControlpanel95DE.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_IT.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_FR.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_ES.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95.INI
[2010.06.16 19:35:34 | 000,001,073 | ---- | C] () -- C:\WINDOWS\SamControlpanel.INI
[2010.05.13 18:38:56 | 000,510,976 | ---- | C] () -- C:\WINDOWS\System32\synsoacc.dll
[2009.07.05 18:49:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpqEmlSz.INI
[2008.11.04 21:54:54 | 000,019,748 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2008.11.04 21:54:30 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.30 11:05:25 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll
[2008.06.24 12:06:51 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.24 12:20:17 | 000,011,910 | ---- | C] () -- C:\WINDOWS\System32\GENMIDI.DLL
[2008.04.24 12:20:03 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\UNDERFLW.DLL
[2008.03.17 13:43:52 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.05 13:59:10 | 000,000,664 | ---- | C] () -- C:\WINDOWS\Sam9_D.INI
[2008.03.05 13:25:33 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2008.03.03 21:24:57 | 000,014,852 | ---- | C] () -- D:\Programme\settings.dat
[2008.03.03 15:48:34 | 000,000,354 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI
[2008.03.03 13:13:09 | 000,001,607 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2008.03.02 18:11:10 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.03.02 14:27:18 | 000,000,671 | ---- | C] () -- C:\WINDOWS\sam7_D.INI
[2008.03.02 14:25:28 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2008.03.02 12:57:40 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2008.03.02 12:55:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.03.02 12:54:40 | 000,006,702 | ---- | C] () -- C:\WINDOWS\System32\drivers\FlashSys.sys
[2008.03.02 12:52:39 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2008.03.02 12:31:13 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.03.02 12:25:36 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.03.02 12:19:42 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.03.02 12:18:37 | 000,153,976 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.04.18 21:07:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll
[2005.02.24 07:32:00 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2004.08.02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2002.08.29 02:54:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2001.08.31 23:15:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.31 23:15:44 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 20:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 20:00:00 | 000,475,228 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 20:00:00 | 000,454,936 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 20:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 20:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 20:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 20:00:00 | 000,091,542 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 20:00:00 | 000,075,014 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 20:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 20:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 20:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 20:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2011.01.04 02:03:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software
[2010.12.29 12:07:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2008.03.03 21:47:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EDIROL
[2011.02.10 16:28:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.12.30 14:26:15 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{08BCEE1B-8DEC-401F-989A-111EE3AF2366}
[2010.12.30 15:15:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{27FE70E2-0B9D-4C25-8965-A3CAC5D841F4}
[2008.11.16 22:57:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2010.12.30 14:25:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{51753DAD-2BAB-4BB2-A4AA-CAAEF5AA972B}
[2010.12.30 14:25:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{5D4AD7AA-51B3-4EF1-8DBC-4D6CBFF4668D}
[2010.12.30 14:31:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{60F5118F-670A-4601-B460-BD2B3A496090}
[2010.12.30 14:18:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{699830EE-64F0-4782-AEDE-0FCCC40946BA}
[2010.12.30 15:15:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8390519B-1329-4713-98A3-9EC042F86B78}
[2010.12.30 14:15:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B5F0C192-874D-49A8-88D7-8431E3714756}
[2010.12.30 14:23:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D15CE785-FD15-4860-807A-3B68400084D3}
[2010.12.30 14:28:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EB5141A8-9F87-4F90-8A97-BF06CCA83206}
[2010.12.30 14:25:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F32D981D-89D0-467F-960D-3B836F636745}
[2010.12.30 14:25:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{FB19379B-D540-4A0A-912E-90471688759D}
[2010.12.29 12:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe Limited
[2011.03.04 23:24:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox
[2011.03.14 13:44:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2011.03.07 20:24:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2011.03.01 12:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\KompoZer
[2011.01.28 17:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LibreOffice
[2010.05.13 18:20:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\My Games
[2011.01.09 01:24:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Notepad++
[2011.01.09 01:19:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Opera
[2008.03.02 19:17:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Steinberg
[2008.06.13 20:56:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\streamripper
[2011.03.14 15:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Systenance
[2010.12.28 19:16:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 152 bytes -> C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys:SummaryInformation
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >
--- --- ---

-----------------------------------------------------OTL Logfile:
Code:
OTL Extras logfile created on: 15.03.2011 17:04:23 - Run 1
OTL by OldTimer - Version 3.2.22.3    Folder = E:\DOWNLOAD\Utilities\SECURITY
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): F:\pagefile.sys 768 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 14,65 Gb Total Space | 4,47 Gb Free Space | 30,50% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 1,25 Gb Free Space | 8,56% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 2,36 Gb Free Space | 9,68% Space Free | Partition Type: NTFS
Drive F: | 22,98 Gb Total Space | 3,35 Gb Free Space | 14,60% Space Free | Partition Type: NTFS
Drive H: | 363,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 533,75 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: HAL9000 | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- D:\Programme\Opera\Opera.exe (Opera Software)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "D:\Programme\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "D:\Programme\Opera\Opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG)
"D:\Programme\Opera\opera.exe" = D:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{086BADF8-9B1F-4E89-B207-2EDA520972D6}" = Grand Theft Auto San Andreas
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center
"{0E086923-AAA3-4F98-A6E2-48B64CE27553}" = Native Instruments Reaktor Factory Selection
"{1007CD51-03AB-4C19-B4F6-CD76F43222BC}" = Native Instruments Best of Absynth
"{10592681-B6D2-4C96-9D92-2371190C4EE4}" = Hercules 1612FW - Benutzerhandbuch
"{121634B0-2F4B-11D3-ADA3-00C04F52DD52}" = Windows Installer Clean Up
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 24
"{26B46206-DF80-4DA2-AEAB-FF146320C344}" = CodeMeter Runtime Kit v4.01
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{388E2B4E-31C3-4620-95AF-FE3EFEE9C662}" = Native Instruments Best of Massive
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{43E7798A-248E-4A3D-9969-FEA63543A462}" = Native Instruments Kontakt 4
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4B35F00C-E63D-40DC-9839-DF15A33EAC46}" = Grand Theft Auto Vice City
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7604A79D-245D-45BB-AFBB-975DE69FFF80}" = Digidesign M-Audio Keyboard Personality 8.0
"{77832A71-8657-46D1-89BC-630243926C9A}" = Orchestral VST
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{8A7E941F-2BB4-47D0-B732-8AE5F3513B68}" = ASAPI
"{8C04CE01-F7B8-4961-884B-6CE7EFFADCD4}" = Native Instruments Reaktor Spark R2
"{8CCA4800-152A-4C51-8569-5803FBD67CC9}" = LibreOffice 3.3
"{8F03D312-383B-4EFD-A0A5-E6AD6B19DA49}" = Hercules 16/12 FW drivers
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A8AD990E-355A-4413-8647-A9B168978423}_is1" = UltraVNC v1.0.1
"{AB85EE3E-1791-4A85-BD60-CD1349ECBD6C}" = Samplitude 11
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{ac7cd50e-f117-4eb4-87ff-a8cbec0dcbbc}" = Native Instruments Kontakt Elements Selection
"{B0FC9E28-1CE6-4A40-BEF1-C6E6EDFCA070}" = Native Instruments Kontakt Factory Selection
"{BA0D0121-A3BA-487D-9C78-7AB0E676C722}" = Miroslav Philharmonik
"{BFD080F6-3BF0-40E1-9507-9CA969C35870}" = Sunbelt Personal Firewall
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{C978F5A7-5E75-4DBD-BFD7-A0488E8EFF9E}" = FileMaker Pro 8.5 Advanced
"{D05011B7-C50B-4E5C-9468-12BF462D8339}" = Native Instruments Komplete 7 Elements
"{D94FCA8D-A8B6-4F03-B0AE-416BFB7AF06A}" = Native Instruments Reaktor Elements Selection
"{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}" = iTunes
"{E236DA46-2EDD-4097-8CF4-444B4FC9E226}" = Native Instruments Abbey Road 60s Drums Vintage
"{E80B34EE-F3E5-4F60-AE89-FF0D717554A2}" = EZdrummer Lite Installer
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F5346614-B7C4-4E94-826A-E2363155233D}" = EasyCleaner
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FF600C37-6328-4348-A67A-3F85D8039604}" = Native Instruments Kore Player
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ASIO4ALL" = ASIO4ALL
"AudioCon" = AudioCon
"Autoplay Repair" = Autoplay Repair 2.2.2
"avast5" = avast! Free Antivirus
"DreamStation DXi2" = DreamStation DXi2
"DVS Guitar_is1" = DVS Guitar v1.05a
"Emagic EVP73 VSTi v1.0" = Emagic EVP73 VSTi v1.0
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"FL Studio 7" = FL Studio 7
"Happyland Adventures - Xmas Edition_is1" = Happyland Adventures - Xmas Edition v1.3
"ie8" = Windows Internet Explorer 8
"IL Download Manager" = IL Download Manager
"Index.dat Analyzer_is1" = Index.dat Analyzer v2.5
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"MozBackup_is1" = MozBackup 1.4.7
"Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15)
"Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9)
"MSI Live Update 3" = MSI Live Update 3
"Native Instruments Abbey Road 60s Drums Vintage" = Native Instruments Abbey Road 60s Drums Vintage
"Native Instruments B4 v1.11" = Native Instruments B4 v1.11
"Native Instruments Battery v1.0" = Native Instruments Battery v1.0
"Native Instruments Best of Absynth" = Native Instruments Best of Absynth
"Native Instruments Best of Massive" = Native Instruments Best of Massive
"Native Instruments Guitar Rig v1.1.2" = Native Instruments Guitar Rig v1.1.2
"Native Instruments Komplete 7 Elements" = Native Instruments Komplete 7 Elements
"Native Instruments Kontakt 4" = Native Instruments Kontakt 4
"Native Instruments Kontakt Elements Selection" = Native Instruments Kontakt Elements Selection
"Native Instruments Kontakt Factory Selection" = Native Instruments Kontakt Factory Selection
"Native Instruments Kore Player" = Native Instruments Kore Player
"Native Instruments Pro-52 v2.0-OxYGeN" = Native Instruments Pro-52 v2.0-OxYGeN
"Native Instruments Reaktor Elements Selection" = Native Instruments Reaktor Elements Selection
"Native Instruments Reaktor Factory Selection" = Native Instruments Reaktor Factory Selection
"Native Instruments Reaktor Spark R2" = Native Instruments Reaktor Spark R2
"Native Instruments Service Center" = Native Instruments Service Center
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"Opera 11.01.1190" = Opera 11.01
"Picasa2" = Picasa 2
"RealAlt_is1" = Real Alternative 1.9.0
"Samplitude FX D" = Samplitude FX 1.0.0.0 (D)
"SCREEN2EXE_is1" = SCREEN2EXE 3.1 (build:2425)
"secretmaryo" = Secret Maryo Chronicles
"Steinberg Nuendo v2.2.0.33" = Steinberg Nuendo v2.2.0.33
"Streamripper" = Streamripper (Remove only)
"SuperTux_is1" = SuperTux 0.1.3
"Tweak UI 2.10" = Tweak UI
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"VLC media player" = VLC media player 1.1.5
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows XP Service Pack" = Windows XP Service Pack 2
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinRAR archiver" = WinRAR
"xp-AntiSpy" = xp-AntiSpy 3.96-7
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"FileZilla Client" = FileZilla Client 3.0.11
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 14.03.2011 12:40:07 | Computer Name = HAL9000 | Source = VBRuntime | ID = 1
Description = The VB Application identified by the event source logged this Application
 MSICUU: Thread ID: 3612 ,Logged:    Failed:  D:\Programme\Windows Installer Clean Up\msizap.exe
 TW! {2614F54E-A828-49FA-93BA-45A3F756BFAA}
 
Error - 14.03.2011 12:40:10 | Computer Name = HAL9000 | Source = VBRuntime | ID = 1
Description = The VB Application identified by the event source logged this Application
 MSICUU: Thread ID: 3612 ,Logged:    Failed:  D:\Programme\Windows Installer Clean Up\msizap.exe
 TW! {BE8A9C2C-8E41-445B-A746-BEB0B1F992F8}
 
 
< End of report >
--- --- ---


------------------------------------------------------

3) Der PC geht in 2 Tagen komplett vom Netz. Windows wird von mir dann mal neu aufgesetzt und sp3 auch installiert... ;-)

GoRilla42 15.03.2011 18:31
Hallo,

hier ist auch noch ein GMER-Log...



GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2011-03-14 19:18:59
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HDS728080PLAT20 rev.PF2OA21B
Running: u64f4pck.exe; Driver: F:\000TEM~1\fwldipoc.sys


---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF75B22A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF75BD910]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xB89B8652]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 895ACD48
Device \Driver\atapi \Device\Ide\IdePort0 895ACD48
Device \Driver\atapi \Device\Ide\IdePort1 895ACD48
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 895ACD48
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 894EAD68
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target1Lun0 894EAD68
Device \Driver\d347prt \Device\Scsi\d347prt1 894EAD68
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
Device \FileSystem\Ntfs \Ntfs 8984FCB8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Ip 894A2538
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Tcp 894A2538
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Udp 894A2538
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\RawIp 894A2538
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- Modules - GMER 1.0.15 ----

Module _________ F7473000-F748B000 (98304 bytes)

---- EOF - GMER 1.0.15 ----

cosinus 15.03.2011 21:16
Zitat:
3) Der PC geht in 2 Tagen komplett vom Netz. Windows wird von mir dann mal neu aufgesetzt und sp3 auch installiert... ;-)
Na, dann lohnt sich auch keine Analyse mehr... :pfeiff:

GoRilla42 16.03.2011 15:19
Ähem... das war ja klar ;-)

Aber vielleicht sei noch die Frage gestattet, ob jemandem schon mal der Dienst WWY untergekommen ist. Habe beim Googlen nichts finden können.

Außerdem habe ich vor noch einiges von den Audio- und Textdateien, die auf meiner Platte liegen, rüberzuretten bevor ich alles formatiere. Es wäre von daher gut zu wissen, ob die Daten "sauber" sind.

Ich bin ab morgen für 14 Tage auf Montage und kann mich des Themas nicht weiter annehmen. Aber vielleicht kann mir heute noch jemand Klarheit darüber verschaffen, ob mein System kompromittiert wurde.

Also, für Antworten wäre ich in jedem Falle dankbar...

Grüße -
GoRilla42

cosinus 16.03.2011 15:24
Den Dienst kenn ich nicht. Auch Google spuckt nichts Brauchbares aus.
Möglich dass der durch Malware kam. Es kann aber sein, dass bestimmte Rootkitscanner den angelegt haben (random name).

Hattest du auf dieser Windows-Installation denn schonmal Malwarefunde? Oder Rootkitscanner o.ä. installiert?

GoRilla42 16.03.2011 16:05
Stimmt, jetzt wo Du es erwähnst... Ich hatte mal den Rootkitrevealer laufen, aber bin nicht fit genug mit den Scan-Ergebnissen etwas anzufangen.



Malwarebytes hatte am 17.01. folgendes gefunden:

--
alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5537

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.01.2011 14:56:22
mbam-log-2011-01-17 (14-56-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 175854
Laufzeit: 18 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


--
Beim Nachlesen in diversen Foren, habe ich dann allerdings gelesen, daß eventuell das Programm "autoruns" für den Alarm von Malwarebytes der Auslöser gewesen sein könnte. Habe mit Autoruns mal rumexperimentiert und diverse Autostarts deaktiviert...

-------------------------------------------------------

In der letzten Zeit hatte ich ständig Probleme mit meinem HP-Drucker - druckte nicht richtig, dann plötzlich keine Scans mehr möglich.
Habe daraufhin versucht alles von HP zu entfernen, was sich allerdings als recht schwierig erwiesen hat. Auch mit einem Tool von HP (gr_uninstall.exe), das angeblich alle Reste der HP-Software entfernen sollte, blieben jede Menge Einträge/Dienste zurück.
Habe daraufhin mit Windows Installer Cleanup Utility die letzten HP-Software-Einträge entfernt.
Jetzt sind aber immer noch HP-Dienste vorhanden (von mir allerdings deaktiviert):

-HP CUE DeviceDiscovery Service
-hpqcxs08
-Net Driver HPZ12
-Pml Driver HPZ12

Aber das ist wohl ein anderes Thema und gehört vielleicht in einen gesonderten Thread...

cosinus 16.03.2011 16:18
Gut möglich, dass der RootkitRevealer den Dienst erzeugt und nicht komplett gelöscht hat. Ich weiß, dass der solche Dienste mit zufälligen Namen erzeugt.

GoRilla42 16.03.2011 16:53
Hallo Arne,

Na dann vertrau ich mal darauf, daß es der Rootkitscanner war. Hast ja recht, was soll man sich jetzt noch mit der Analyse rumschlagen. Werde das System sowieso neu Aufsetzen und dann mit sp3, windowsfirewall etc. und ansonsten immer brav die Updates ziehen.

Ich danke Dir für die Hilfe. :-)

Grüße
GoRilla42


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131