| |
| |||||||
Log-Analyse und Auswertung: Großbaustelle: PC der Eltern - Mehrere Trojaner in der RegistryWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
21.12.2011, 14:33
| #1 |
 |  Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Hallo TB Team, Weihnachtsurlaub bei den Eltern und bei der Überprüfung des PCs dann eine böse Überraschung. Der PC ist offen wie ein Scheunentor. Völlig veraltete Programme, automatische Updates waren deaktiviert, mein Vater hat die Avira Scans abgebrochen zum Teil, weil es ihn gestört hat etc. pp. Da werde ich über die Feiertage mal versuchen alles wieder hinzukriegen und ein Bewusstsein für PC Sicherheit zu schaffen. Also es sieht so aus: Denke an einer Neuaufsetzung führt kein Weg vorbei. AntiVir findet folgendes: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. Dezember 2011 13:08
Es wird nach 3592199 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000****6-AD***-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***
Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 03.07.2011 10:22:58
AVSCAN.DLL : 10.0.5.0 57192 Bytes 03.07.2011 10:22:58
LUKE.DLL : 10.3.0.5 45416 Bytes 03.07.2011 10:22:58
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 03.07.2011 10:22:58
AVREG.DLL : 10.3.0.9 88833 Bytes 13.07.2011 19:12:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 16:13:54
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:45:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:25:33
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 15:44:34
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 08:02:25
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 10:06:27
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 16:04:10
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 10:07:13
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 10:07:13
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 10:07:13
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 10:07:13
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 10:07:13
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 10:46:18
VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 10:46:19
VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 10:46:20
VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 17:08:12
VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 17:10:17
VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 14:57:04
VBASE019.VDF : 7.11.19.77 144896 Bytes 13.12.2011 18:45:14
VBASE020.VDF : 7.11.19.115 177664 Bytes 15.12.2011 15:59:32
VBASE021.VDF : 7.11.19.137 139776 Bytes 16.12.2011 15:59:32
VBASE022.VDF : 7.11.19.138 2048 Bytes 16.12.2011 15:59:32
VBASE023.VDF : 7.11.19.139 2048 Bytes 16.12.2011 15:59:33
VBASE024.VDF : 7.11.19.140 2048 Bytes 16.12.2011 15:59:33
VBASE025.VDF : 7.11.19.141 2048 Bytes 16.12.2011 15:59:33
VBASE026.VDF : 7.11.19.142 2048 Bytes 16.12.2011 15:59:33
VBASE027.VDF : 7.11.19.143 2048 Bytes 16.12.2011 15:59:33
VBASE028.VDF : 7.11.19.144 2048 Bytes 16.12.2011 15:59:33
VBASE029.VDF : 7.11.19.145 2048 Bytes 16.12.2011 15:59:33
VBASE030.VDF : 7.11.19.146 2048 Bytes 16.12.2011 15:59:33
VBASE031.VDF : 7.11.19.162 105472 Bytes 19.12.2011 00:14:20
Engineversion : 8.2.8.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 29.10.2011 15:15:08
AESCRIPT.DLL : 8.1.3.92 495996 Bytes 17.12.2011 15:59:38
AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 17:04:26
AESBX.DLL : 8.2.4.5 434549 Bytes 04.12.2011 10:46:33
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 13:51:43
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 18:45:16
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 17.12.2011 15:59:37
AEHEUR.DLL : 8.1.3.8 4231543 Bytes 17.12.2011 15:59:37
AEHELP.DLL : 8.1.18.0 254327 Bytes 29.10.2011 15:15:04
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 14:57:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 17:03:40
AECORE.DLL : 8.1.24.2 201080 Bytes 17.12.2011 15:59:34
AEBB.DLL : 8.1.1.0 53618 Bytes 22.09.2010 08:34:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 03.07.2011 10:22:58
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 18:47:31
AVARKT.DLL : 10.0.26.1 255336 Bytes 03.07.2011 10:22:58
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 03.07.2011 10:22:58
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 03.07.2011 10:22:57
RCTEXT.DLL : 10.0.64.0 98664 Bytes 03.07.2011 10:22:57
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Mittwoch, 21. Dezember 2011 13:08
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIFBE.EXE' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAAE.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '418' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4ARI2DI\animate[1].js
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJPDP8MI\dot-it-yourself[2].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJPDP8MI\dot-it-yourself[2].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc17678.qua' verschoben!
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4ARI2DI\animate[1].js
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '556959de.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 21. Dezember 2011 13:35
Benötigte Zeit: 24:10 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
2961 Verzeichnisse wurden überprüft
163412 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
163410 Dateien ohne Befall
1020 Archive wurden durchsucht
0 Warnungen
2 Hinweise
258395 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 911122103
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
21.12.2011 14:12:10
mbam-log-2011-12-21 (14-12-10).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 209385
Laufzeit: 17 Minute(n), 3 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Delete on reboot.
Defogger Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:42 on 21/12/2011 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter OTL logfile created on: 21.12.2011 13:43:56 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Metzger\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,94 Gb Total Physical Memory | 1,38 Gb Available Physical Memory | 71,05% Memory free 3,79 Gb Paging File | 3,31 Gb Available in Paging File | 87,51% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 224,52 Gb Free Space | 96,41% Space Free | Partition Type: NTFS Computer Name: *** | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.12.21 13:43:13 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metzger\Desktop\OTL.exe PRC - [2011.12.21 13:39:32 | 000,471,664 | ---- | M] (Google Inc.) -- C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temp\Google Toolbar\gtb14A.tmp.exe PRC - [2011.07.03 11:22:58 | 000,400,040 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avcenter.exe PRC - [2011.07.03 11:22:58 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.28 18:41:22 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.07 16:59:30 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe PRC - [2008.12.04 13:24:30 | 000,665,424 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Epson Software\Event Manager\EEventManager.exe PRC - [2008.09.27 00:00:00 | 000,199,680 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIFBE.EXE PRC - [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.01.25 05:00:00 | 000,098,304 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIAAE.EXE PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE ========== Modules (No Company Name) ========== MOD - [2010.01.28 12:57:53 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe MOD - [2008.12.03 14:05:26 | 000,135,168 | ---- | M] () -- C:\Programme\Epson Software\Event Manager\Assistants\Scan Assistant\ScanEngine.dll MOD - [2008.11.26 10:56:02 | 000,057,344 | ---- | M] () -- C:\Programme\Epson Software\Event Manager\Assistants\Scan Assistant\Satwain.dll MOD - [2007.09.20 17:34:58 | 000,129,024 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2007.04.20 20:32:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll ========== Win32 Services (SafeList) ========== SRV - [2011.07.03 11:22:58 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.04.28 18:41:22 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM) ========== Driver Services (SafeList) ========== DRV - [2011.07.03 11:22:58 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.03 11:22:58 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.05.11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2007.05.10 17:28:08 | 004,419,584 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2007.03.06 11:27:32 | 000,019,968 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2007.03.06 11:27:28 | 000,058,752 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2005.05.22 01:00:00 | 000,015,104 | R--- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmunet.sys -- (AVMUNET) DRV - [2005.03.16 07:23:54 | 000,013,696 | R--- | M] (BIOSTAR Group) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (XTTBPos00 Class) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll (IE Toolbar) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH) O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH) O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKCU..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE (SEIKO EPSON CORPORATION) O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10p_ActiveX.exe (Adobe Systems, Inc.) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe File not found O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe File not found O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190145332640 (WUWebControl Class) O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} hxxp://static.ak.schuelervz.net/photouploader/ImageUploader4.cab (Image Uploader Control) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1CA1DDC1-4698-4D9A-A007-D91B17EFEEED}: DhcpNameServer = 192.168.2.1 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.09.16 23:46:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: nwiz - hkey= - key= - File not found MsConfig - StartUpReg: SkyTel - hkey= - key= - C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.12.21 13:43:10 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metzger\Desktop\OTL.exe [2011.12.21 13:35:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metzger\Desktop\Reinigung des PC [2011.12.21 13:08:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2011.12.21 12:52:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\Avira [9 C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp -> ] [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.21 13:43:13 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metzger\Desktop\OTL.exe [2011.12.21 13:42:28 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\defogger_reenable [2011.12.21 12:40:23 | 000,464,842 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.12.21 12:40:23 | 000,442,812 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.12.21 12:40:23 | 000,099,276 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.12.21 12:40:23 | 000,089,408 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.12.21 12:35:57 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.12.21 12:35:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.12.18 16:27:29 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\Desktop\Microsoft Office Word 2003.lnk [2011.12.17 18:52:48 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\Desktop\Skype.lnk [2011.11.27 19:34:53 | 000,098,182 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\388479_10150482762255229_583355228_10546421_2143923001_n.jpg [9 C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp -> ] [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.21 13:42:28 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Metzger\defogger_reenable [2011.11.27 19:33:25 | 000,098,182 | ---- | C] () -- C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\388479_10150482762255229_583355228_10546421_2143923001_n.jpg [2009.12.18 12:06:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI [2009.12.18 11:46:37 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat [2009.12.18 11:46:37 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat [2009.12.18 11:46:37 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat [2009.12.18 11:46:37 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat [2009.12.18 11:46:37 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat [2009.12.18 11:46:37 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat [2009.12.18 11:46:37 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat [2009.12.18 11:46:37 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat [2009.12.18 11:46:37 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat [2009.12.18 11:46:37 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat [2009.12.18 11:46:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat [2009.12.18 11:46:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat [2009.12.18 11:46:37 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat [2009.12.18 11:46:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat [2009.12.18 11:46:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat [2009.12.18 11:46:37 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat [2009.12.18 11:46:37 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat [2009.12.18 11:46:37 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat [2009.12.18 11:46:37 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini [2009.12.07 16:41:06 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDED68PE.ini [2009.01.02 14:20:58 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2008.06.10 16:42:10 | 000,067,104 | ---- | C] () -- C:\WINDOWS\unTMV.exe [2008.01.14 17:24:19 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.01.14 17:24:19 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.09.18 22:47:25 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.09.18 22:39:27 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI [2007.09.18 18:11:31 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2007.09.18 18:09:41 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin [2007.09.17 00:25:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2007.09.17 00:24:05 | 000,259,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007.09.16 23:48:13 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2007.09.16 23:43:35 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2007.04.20 20:32:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.04.20 20:32:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2007.04.20 20:32:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.04.20 20:32:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2007.04.20 20:32:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.04.20 20:32:00 | 001,018,748 | ---- | C] () -- C:\WINDOWS\System32\nvucode.bin [2007.04.20 20:32:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.04.20 20:32:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2007.04.20 20:32:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2007.04.20 20:32:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.02.28 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2006.02.28 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2006.02.28 13:00:00 | 000,464,842 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006.02.28 13:00:00 | 000,442,812 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006.02.28 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2006.02.28 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2006.02.28 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2006.02.28 13:00:00 | 000,099,276 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006.02.28 13:00:00 | 000,089,408 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006.02.28 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2006.02.28 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2006.02.28 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2006.02.28 13:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys [2006.02.28 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2006.02.28 13:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2006.02.28 13:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2006.02.28 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2003.02.20 14:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI ========== LOP Check ========== [2009.12.18 11:54:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2010.02.16 19:54:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009.12.16 12:17:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir [2009.12.18 11:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2011.09.03 09:46:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\Epson [2007.11.11 16:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ [2010.02.11 21:32:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ Toolbar [2009.01.03 16:27:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\TeamViewer ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.04.25 12:27:53 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2007.09.17 01:01:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2007.09.28 08:55:40 | 000,000,000 | ---D | M] -- C:\f22196ec7894280848db3f [2008.07.14 18:10:00 | 000,000,000 | ---D | M] -- C:\Poker [2010.09.22 09:27:55 | 000,000,000 | R--D | M] -- C:\Programme [2007.09.18 22:49:51 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.12.21 13:32:46 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.12.07 06:37:06 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < %systemroot%\system32\*.manifest /3 > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: AFD.SYS > [2006.02.28 13:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\WINDOWS\system32\dllcache\afd.sys [2006.02.28 13:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\WINDOWS\system32\drivers\afd.sys < MD5 for: EXPLORER.EXE > [2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe [2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\explorer.exe [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: IPSEC.SYS > [2006.02.28 13:00:00 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=64537AA5C003A6AFEEE1DF819062D0D1 -- C:\WINDOWS\system32\dllcache\ipsec.sys [2006.02.28 13:00:00 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=64537AA5C003A6AFEEE1DF819062D0D1 -- C:\WINDOWS\system32\drivers\ipsec.sys < MD5 for: REGEDIT.EXE > [2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\regedit.exe [2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2007.03.08 16:32:24 | 001,843,712 | ---- | M] (Microsoft Corporation) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2007-09-28 07:13:24 < > < End of report > Extras Code:
ATTFilter OTL Extras logfile created on: 21.12.2011 13:43:56 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Metzger\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,94 Gb Total Physical Memory | 1,38 Gb Available Physical Memory | 71,05% Memory free
3,79 Gb Paging File | 3,31 Gb Available in Paging File | 87,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 224,52 Gb Free Space | 96,41% Space Free | Partition Type: NTFS
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6\ICQ.exe" = C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Epson Software\Event Manager\EEventManager.exe" = C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application -- (SEIKO EPSON CORPORATION)
"C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe" = C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4781569D-5404-1F26-4B2B-6DF444441031}" = Nero 7 Ultra Edition
"{48F22622-1CC2-4A83-9C1E-644DD96F832D}" = Epson Event Manager
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{87C2248A-C7DD-49ED-9BCD-B312A9D0819E}" = Epson Easy Photo Print 2
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{DBEA1034-5882-4A88-8033-81C4EF0CFA29}" = Google Toolbar for Internet Explorer
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"DynGate" = DynGate
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"Epson Stylus SX110_TX110 Benutzerhandbuch" = Epson Stylus SX110_TX110 Handbuch
"EPSON SX110 Series" = EPSON SX110 Series Printer Uninstall
"ER Mapper ECW JPEG 2000 Plug-in for Internet Explorer" = ER Mapper ECW JPEG 2000 Plug-in for Internet Explorer [3.4.0.242]
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Picasa2" = Picasa 2
"TeamViewer" = TeamViewer
"TeamViewer 4" = TeamViewer 4
"Titan Poker" = Titan Poker
"WinRAR archiver" = WinRAR
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 12.08.2010 13:43:05 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
[ Application Events ]
Error - 12.08.2010 13:43:05 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste
DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich
und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
[ System Events ]
Error - 29.08.2011 06:08:11 | Computer Name = *** | Source = System Error | ID = 1003
Description = Fehlercode 0000004e, 1. Parameter 00000099, 2. Parameter 000355e2,
3. Parameter 00000001, 4. Parameter 00000000.
Error - 03.09.2011 04:42:23 | Computer Name = *** | Source = System Error | ID = 1003
Description = Fehlercode 0000004e, 1. Parameter 00000099, 2. Parameter 00035454,
3. Parameter 00000001, 4. Parameter 00000000.
Error - 21.12.2011 08:21:04 | Computer Name = *** | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "C:" aus.
< End of report >
Ein großes Dankeschön von mir und meinen Eltern im Voraus. Grüße mephisto |
|
21.12.2011, 15:45
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Führ bitte auch ESET aus, danach sehen wir weiter:
__________________ESET Online Scanner
__________________ |
|
21.12.2011, 16:51
| #3 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Hallo Arne,
__________________beim Start des PCs kam vorhin folgende Meldung, die ersten beiden Zeilen mehrfach untereinander gereiht: "Ein Indexeintrag wird aus dem Index $0 in der Datei 25 gelöscht. Ein Indexeintrag wird in Index $0 der Datei 25 eingefügt. Indexüberprüfung beendet. CHKDSK wird geprüft." ( und noch einiges mehr, das ging zu schnell) Hier das ESET Log: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.17055 (vista_gdr.100414-0533)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4378e0338f181f4b9c9fa244425f78a8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-21 03:48:15
# local_time=2011-12-21 04:48:15 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 134328711 134328711 0 0
# compatibility_mode=1797 16775141 100 93 287249 61017921 137385 0
# compatibility_mode=8192 67108863 100 0 3753 3753 0 0
# scanned=62676
# found=1
# cleaned=0
# scan_time=1431
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temp\ptu7_tmp.exe Win32/PTCasino application (unable to clean) 00000000000000000000000000000000 I
Dankeschön! |
|
21.12.2011, 19:14
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
PRC - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
MOD - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
SRV - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found
O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.09.16 23:46:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2010.02.11 21:32:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ Toolbar
[2007.09.28 08:55:40 | 000,000,000 | ---D | M] -- C:\f22196ec7894280848db3f
:Files
C:\Programme\ICQ6Toolbar
:Commands
[emptytemp]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
21.12.2011, 19:56
| #5 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Im Anschluss an den Fix mit OTL kam nach dem Neustart 4-5 Mal die Fehlermeldung " Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt." Weiterhin tauchten auf dem Desktop durchsichtige Dateien auf, die vorher nicht da waren. Nach 2-3 Minuten verschwanden diese aber wieder. Was mir gerade Sorgen macht: In den logfiles von Avira, ESET und OTL bin ich nun öfter über den User "Metzger" gestolpert. Der PC hat nur ein Konto und das heisst anders! Ich habs nochmal in der Benutzerkontensteuerung nachgesehen. Ein Gastkonto ist ebenfalls nicht aktiviert. Das "Metzger"Konto taucht bei den gefunden Viren auch oft auf. Wie ist das möglich? Hat da jemand Zugriff oder wie kann sowas sein? Das log file vom OTL Fix: Code:
ATTFilter All processes killed
========== OTL ==========
No active process named ICQ Service.exe was found!
Service ICQ Service stopped successfully!
Service ICQ Service deleted successfully!
C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully.
C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
File C:\Programme\ICQ6Toolbar\ICQToolBar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
File C:\Programme\ICQ6Toolbar\ICQToolBar.dll not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ Toolbar folder moved successfully.
C:\f22196ec7894280848db3f\update folder moved successfully.
C:\f22196ec7894280848db3f\iem folder moved successfully.
C:\f22196ec7894280848db3f folder moved successfully.
========== FILES ==========
C:\Programme\ICQ6Toolbar folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 13602187 bytes
User: Metzger
->Temp folder emptied: 135695662 bytes
->Temporary Internet Files folder emptied: 582891667 bytes
->Flash cache emptied: 18701 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2219449 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16488615 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 716,00 mb
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.31.0 log created on 12212011_194142
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
21.12.2011, 20:41
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ --> Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry |
|
22.12.2011, 09:22
| #7 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry TDSS Killer: Code:
ATTFilter
09:10:27.0375 3868 TDSS rootkit removing tool 2.6.23.0 Dec 13 2011 10:39:31
09:10:27.0453 3868 ============================================================
09:10:27.0453 3868 Current date / time: 2011/12/22 09:10:27.0453
09:10:27.0453 3868 SystemInfo:
09:10:27.0453 3868
09:10:27.0453 3868 OS Version: 5.1.2600 ServicePack: 2.0
09:10:27.0453 3868 Product type: Workstation
09:10:27.0453 3868 ComputerName: ***
09:10:27.0453 3868 UserName: ***
09:10:27.0453 3868 Windows directory: C:\WINDOWS
09:10:27.0453 3868 System windows directory: C:\WINDOWS
09:10:27.0453 3868 Processor architecture: Intel x86
09:10:27.0453 3868 Number of processors: 2
09:10:27.0453 3868 Page size: 0x1000
09:10:27.0453 3868 Boot type: Normal boot
09:10:27.0453 3868 ============================================================
09:10:28.0187 3868 Initialize success
09:12:12.0750 3124 ============================================================
09:12:12.0750 3124 Scan started
09:12:12.0750 3124 Mode: Manual; SigCheck; TDLFS;
09:12:12.0750 3124 ============================================================
09:12:13.0421 3124 Abiosdsk - ok
09:12:13.0421 3124 abp480n5 - ok
09:12:13.0453 3124 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
09:12:13.0625 3124 ACPI - ok
09:12:13.0656 3124 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
09:12:13.0765 3124 ACPIEC - ok
09:12:13.0781 3124 adpu160m - ok
09:12:13.0812 3124 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
09:12:14.0046 3124 aec - ok
09:12:14.0078 3124 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
09:12:14.0078 3124 AFD - ok
09:12:14.0093 3124 Aha154x - ok
09:12:14.0093 3124 aic78u2 - ok
09:12:14.0109 3124 aic78xx - ok
09:12:14.0125 3124 AliIde - ok
09:12:14.0125 3124 amsint - ok
09:12:14.0140 3124 asc - ok
09:12:14.0156 3124 asc3350p - ok
09:12:14.0156 3124 asc3550 - ok
09:12:14.0203 3124 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
09:12:14.0312 3124 AsyncMac - ok
09:12:14.0343 3124 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
09:12:14.0453 3124 atapi - ok
09:12:14.0453 3124 Atdisk - ok
09:12:14.0468 3124 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
09:12:14.0578 3124 Atmarpc - ok
09:12:14.0609 3124 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
09:12:14.0734 3124 audstub - ok
09:12:14.0890 3124 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
09:12:14.0906 3124 avgio - ok
09:12:15.0140 3124 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
09:12:15.0187 3124 avgntflt - ok
09:12:15.0218 3124 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
09:12:15.0234 3124 avipbb - ok
09:12:15.0250 3124 AVMUNET (077b3692f4376d1539755761feef659a) C:\WINDOWS\system32\DRIVERS\avmunet.sys
09:12:15.0281 3124 AVMUNET - ok
09:12:15.0312 3124 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
09:12:15.0421 3124 Beep - ok
09:12:15.0468 3124 BIOS (be5d50529799b9bab6be879ec768b6cf) C:\WINDOWS\system32\drivers\BIOS.sys
09:12:15.0500 3124 BIOS ( UnsignedFile.Multi.Generic ) - warning
09:12:15.0500 3124 BIOS - detected UnsignedFile.Multi.Generic (1)
09:12:15.0531 3124 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
09:12:15.0640 3124 cbidf2k - ok
09:12:15.0640 3124 cd20xrnt - ok
09:12:15.0671 3124 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
09:12:15.0781 3124 Cdaudio - ok
09:12:15.0828 3124 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
09:12:15.0953 3124 Cdfs - ok
09:12:15.0984 3124 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
09:12:16.0093 3124 Cdrom - ok
09:12:16.0109 3124 Changer - ok
09:12:16.0125 3124 CmdIde - ok
09:12:16.0140 3124 Cpqarray - ok
09:12:16.0156 3124 dac2w2k - ok
09:12:16.0156 3124 dac960nt - ok
09:12:16.0187 3124 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
09:12:16.0296 3124 Disk - ok
09:12:16.0328 3124 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
09:12:16.0453 3124 dmboot - ok
09:12:16.0468 3124 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
09:12:16.0578 3124 dmio - ok
09:12:16.0593 3124 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
09:12:16.0687 3124 dmload - ok
09:12:16.0734 3124 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
09:12:16.0843 3124 DMusic - ok
09:12:16.0843 3124 dpti2o - ok
09:12:16.0859 3124 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
09:12:16.0968 3124 drmkaud - ok
09:12:17.0015 3124 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
09:12:17.0125 3124 Fastfat - ok
09:12:17.0156 3124 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
09:12:17.0265 3124 Fdc - ok
09:12:17.0296 3124 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
09:12:17.0406 3124 Fips - ok
09:12:17.0437 3124 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
09:12:17.0546 3124 Flpydisk - ok
09:12:17.0578 3124 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
09:12:17.0859 3124 FltMgr - ok
09:12:17.0859 3124 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
09:12:17.0968 3124 Fs_Rec - ok
09:12:18.0015 3124 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
09:12:18.0125 3124 Ftdisk - ok
09:12:18.0156 3124 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
09:12:18.0265 3124 Gpc - ok
09:12:18.0312 3124 HDAudBus (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
09:12:18.0328 3124 HDAudBus - ok
09:12:18.0359 3124 hidusb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
09:12:18.0453 3124 hidusb - ok
09:12:18.0453 3124 hpn - ok
09:12:18.0484 3124 HTTP (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
09:12:18.0781 3124 HTTP - ok
09:12:18.0796 3124 i2omgmt - ok
09:12:18.0796 3124 i2omp - ok
09:12:18.0843 3124 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
09:12:18.0984 3124 i8042prt - ok
09:12:19.0000 3124 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
09:12:19.0109 3124 Imapi - ok
09:12:19.0125 3124 InCDFs - ok
09:12:19.0140 3124 InCDPass - ok
09:12:19.0140 3124 InCDRm - ok
09:12:19.0156 3124 ini910u - ok
09:12:19.0343 3124 IntcAzAudAddService (a799e941c3d19bcf6f93cbe12b55bc17) C:\WINDOWS\system32\drivers\RtkHDAud.sys
09:12:19.0468 3124 IntcAzAudAddService - ok
09:12:19.0734 3124 IntelIde - ok
09:12:19.0765 3124 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
09:12:19.0875 3124 Ip6Fw - ok
09:12:19.0921 3124 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
09:12:20.0031 3124 IpFilterDriver - ok
09:12:20.0046 3124 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
09:12:20.0171 3124 IpInIp - ok
09:12:20.0203 3124 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
09:12:20.0484 3124 IpNat - ok
09:12:20.0515 3124 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
09:12:20.0640 3124 IPSec - ok
09:12:20.0671 3124 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
09:12:20.0734 3124 IRENUM - ok
09:12:20.0765 3124 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
09:12:20.0875 3124 isapnp - ok
09:12:20.0906 3124 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
09:12:21.0000 3124 Kbdclass - ok
09:12:21.0015 3124 kbdhid (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
09:12:21.0140 3124 kbdhid - ok
09:12:21.0171 3124 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
09:12:21.0453 3124 kmixer - ok
09:12:21.0484 3124 KSecDD (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
09:12:21.0500 3124 KSecDD - ok
09:12:21.0515 3124 lbrtfdc - ok
09:12:21.0531 3124 MBAMSwissArmy - ok
09:12:21.0578 3124 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
09:12:21.0687 3124 mnmdd - ok
09:12:21.0718 3124 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
09:12:21.0828 3124 Modem - ok
09:12:21.0859 3124 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
09:12:21.0968 3124 Mouclass - ok
09:12:21.0968 3124 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
09:12:22.0078 3124 mouhid - ok
09:12:22.0093 3124 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
09:12:22.0203 3124 MountMgr - ok
09:12:22.0218 3124 mraid35x - ok
09:12:22.0218 3124 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
09:12:22.0328 3124 MRxDAV - ok
09:12:22.0375 3124 MRxSmb (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
09:12:22.0390 3124 MRxSmb - ok
09:12:22.0406 3124 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
09:12:22.0515 3124 Msfs - ok
09:12:22.0546 3124 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
09:12:22.0656 3124 MSKSSRV - ok
09:12:22.0671 3124 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
09:12:22.0765 3124 MSPCLOCK - ok
09:12:22.0781 3124 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
09:12:22.0890 3124 MSPQM - ok
09:12:22.0921 3124 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
09:12:23.0015 3124 mssmbios - ok
09:12:23.0062 3124 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
09:12:23.0171 3124 Mup - ok
09:12:23.0203 3124 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
09:12:23.0312 3124 NDIS - ok
09:12:23.0343 3124 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
09:12:23.0453 3124 NdisTapi - ok
09:12:23.0484 3124 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
09:12:23.0609 3124 Ndisuio - ok
09:12:23.0625 3124 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
09:12:23.0718 3124 NdisWan - ok
09:12:23.0750 3124 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
09:12:23.0859 3124 NDProxy - ok
09:12:23.0875 3124 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
09:12:23.0984 3124 NetBIOS - ok
09:12:24.0015 3124 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
09:12:24.0125 3124 NetBT - ok
09:12:24.0156 3124 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
09:12:24.0250 3124 Npfs - ok
09:12:24.0281 3124 Ntfs (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
09:12:24.0578 3124 Ntfs - ok
09:12:24.0609 3124 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
09:12:24.0703 3124 Null - ok
09:12:24.0859 3124 nv (f43b110e1e97eb5606ab51aea2a26247) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
09:12:25.0171 3124 nv - ok
09:12:25.0453 3124 NVENETFD (d875346596bd48d74ac9b9be791b8d69) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
09:12:25.0484 3124 NVENETFD - ok
09:12:25.0765 3124 nvnetbus (f02c1c5e84c37667ecd3eea5958449bc) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
09:12:25.0796 3124 nvnetbus - ok
09:12:26.0078 3124 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
09:12:26.0187 3124 NwlnkFlt - ok
09:12:26.0468 3124 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
09:12:26.0578 3124 NwlnkFwd - ok
09:12:26.0859 3124 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
09:12:26.0968 3124 Parport - ok
09:12:27.0250 3124 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
09:12:27.0359 3124 PartMgr - ok
09:12:27.0625 3124 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
09:12:27.0750 3124 ParVdm - ok
09:12:28.0031 3124 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
09:12:28.0140 3124 PCI - ok
09:12:28.0390 3124 PCIDump - ok
09:12:28.0687 3124 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
09:12:28.0796 3124 PCIIde - ok
09:12:29.0078 3124 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
09:12:29.0187 3124 Pcmcia - ok
09:12:29.0453 3124 PDCOMP - ok
09:12:29.0468 3124 PDFRAME - ok
09:12:29.0468 3124 PDRELI - ok
09:12:29.0484 3124 PDRFRAME - ok
09:12:29.0500 3124 perc2 - ok
09:12:29.0500 3124 perc2hib - ok
09:12:29.0546 3124 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
09:12:29.0656 3124 PptpMiniport - ok
09:12:29.0671 3124 Processor (3d7f196e77f986c106e9320b81a5ebbf) C:\WINDOWS\system32\DRIVERS\processr.sys
09:12:29.0781 3124 Processor - ok
09:12:29.0781 3124 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
09:12:29.0890 3124 PSched - ok
09:12:29.0890 3124 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
09:12:30.0000 3124 Ptilink - ok
09:12:30.0031 3124 PxHelp20 (f7bb4e7a7c02ab4a2672937e124e306e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
09:12:30.0046 3124 PxHelp20 ( UnsignedFile.Multi.Generic ) - warning
09:12:30.0046 3124 PxHelp20 - detected UnsignedFile.Multi.Generic (1)
09:12:30.0046 3124 ql1080 - ok
09:12:30.0062 3124 Ql10wnt - ok
09:12:30.0062 3124 ql12160 - ok
09:12:30.0078 3124 ql1240 - ok
09:12:30.0093 3124 ql1280 - ok
09:12:30.0109 3124 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
09:12:30.0218 3124 RasAcd - ok
09:12:30.0250 3124 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
09:12:30.0359 3124 Rasl2tp - ok
09:12:30.0375 3124 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
09:12:30.0468 3124 RasPppoe - ok
09:12:30.0500 3124 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
09:12:30.0609 3124 Raspti - ok
09:12:30.0625 3124 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
09:12:30.0937 3124 Rdbss - ok
09:12:30.0968 3124 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
09:12:31.0078 3124 RDPCDD - ok
09:12:31.0125 3124 rdpdr (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
09:12:31.0250 3124 rdpdr - ok
09:12:31.0281 3124 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
09:12:31.0578 3124 RDPWD - ok
09:12:31.0609 3124 redbook (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
09:12:31.0718 3124 redbook - ok
09:12:31.0765 3124 Secdrv (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
09:12:31.0828 3124 Secdrv - ok
09:12:31.0843 3124 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
09:12:31.0953 3124 serenum - ok
09:12:31.0968 3124 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
09:12:32.0078 3124 Serial - ok
09:12:32.0093 3124 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
09:12:32.0187 3124 Sfloppy - ok
09:12:32.0203 3124 Simbad - ok
09:12:32.0218 3124 Sparrow - ok
09:12:32.0250 3124 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
09:12:32.0531 3124 splitter - ok
09:12:32.0578 3124 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
09:12:32.0656 3124 sr - ok
09:12:32.0687 3124 Srv (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
09:12:32.0718 3124 Srv - ok
09:12:32.0750 3124 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
09:12:32.0750 3124 ssmdrv - ok
09:12:32.0796 3124 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
09:12:32.0906 3124 swenum - ok
09:12:32.0937 3124 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
09:12:33.0031 3124 swmidi - ok
09:12:33.0046 3124 symc810 - ok
09:12:33.0062 3124 symc8xx - ok
09:12:33.0062 3124 sym_hi - ok
09:12:33.0078 3124 sym_u3 - ok
09:12:33.0093 3124 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
09:12:33.0203 3124 sysaudio - ok
09:12:33.0234 3124 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
09:12:33.0296 3124 Tcpip - ok
09:12:33.0328 3124 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
09:12:33.0421 3124 TDPIPE - ok
09:12:33.0437 3124 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
09:12:33.0546 3124 TDTCP - ok
09:12:33.0562 3124 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
09:12:33.0671 3124 TermDD - ok
09:12:33.0687 3124 TosIde - ok
09:12:33.0718 3124 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
09:12:33.0812 3124 Udfs - ok
09:12:33.0828 3124 ultra - ok
09:12:33.0843 3124 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
09:12:33.0937 3124 Update - ok
09:12:33.0968 3124 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
09:12:34.0078 3124 usbccgp - ok
09:12:34.0093 3124 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
09:12:34.0203 3124 usbehci - ok
09:12:34.0218 3124 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
09:12:34.0312 3124 usbhub - ok
09:12:34.0343 3124 usbohci (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
09:12:34.0453 3124 usbohci - ok
09:12:34.0468 3124 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
09:12:34.0578 3124 usbprint - ok
09:12:34.0593 3124 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
09:12:34.0703 3124 usbscan - ok
09:12:34.0718 3124 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
09:12:34.0828 3124 USBSTOR - ok
09:12:34.0859 3124 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
09:12:34.0953 3124 VgaSave - ok
09:12:34.0968 3124 ViaIde - ok
09:12:34.0984 3124 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
09:12:35.0093 3124 VolSnap - ok
09:12:35.0125 3124 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
09:12:35.0234 3124 Wanarp - ok
09:12:35.0250 3124 WDICA - ok
09:12:35.0281 3124 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
09:12:35.0578 3124 wdmaud - ok
09:12:35.0625 3124 WmiAcpi (ae2c8544e747c20062db27456ea2d67a) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
09:12:35.0734 3124 WmiAcpi - ok
09:12:35.0765 3124 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
09:12:36.0000 3124 \Device\Harddisk0\DR0 - ok
09:12:36.0000 3124 Boot (0x1200) (83a5a5484bc1aa32316a1bce9a916a4a) \Device\Harddisk0\DR0\Partition0
09:12:36.0000 3124 \Device\Harddisk0\DR0\Partition0 - ok
09:12:36.0000 3124 ============================================================
09:12:36.0000 3124 Scan finished
09:12:36.0000 3124 ============================================================
09:12:36.0109 3004 Detected object count: 2
09:12:36.0109 3004 Actual detected object count: 2
09:12:52.0968 3004 BIOS ( UnsignedFile.Multi.Generic ) - skipped by user
09:12:52.0968 3004 BIOS ( UnsignedFile.Multi.Generic ) - User select action: Skip
09:12:52.0968 3004 PxHelp20 ( UnsignedFile.Multi.Generic ) - skipped by user
09:12:52.0968 3004 PxHelp20 ( UnsignedFile.Multi.Generic ) - User select action: Skip
Unhide hab ich ausgeführt. Es tauchen wieder die selben Dateien auf, wie gestern kurzzeitig bei dem Neustart. Es handelt sich um die Art von Worddateien, die geöffnet werden, wenn man in einem richtigen Word Dokument arbeitet. Falls du nun weißt, wie ich das meine. Weiterhin befinden sich mehrere WRL2476.tmp (nach diesem Muster, verschiedene Zahlen) auf dem Desktop. |
|
22.12.2011, 13:58
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
22.12.2011, 21:37
| #9 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Combofix: Combofix Logfile: Code:
ATTFilter ComboFix 11-12-22.04 - *** 22.12.2011 21:28:04.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1982.1495 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Metzger\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\driver
c:\windows\system32\oobe\isperror
c:\windows\system32\oobe\isperror\ispcnerr.htm
c:\windows\system32\oobe\isperror\ispdtone.htm
c:\windows\system32\oobe\isperror\isphdshk.htm
c:\windows\system32\oobe\isperror\ispins.htm
c:\windows\system32\oobe\isperror\ispnoanw.htm
c:\windows\system32\oobe\isperror\isppberr.htm
c:\windows\system32\oobe\isperror\ispphbsy.htm
c:\windows\system32\oobe\isperror\ispsbusy.htm
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-11-22 bis 2011-12-22 ))))))))))))))))))))))))))))))
.
.
2011-12-21 18:41 . 2011-12-21 18:41 -------- d-----w- C:\_OTL
2011-12-21 15:21 . 2011-12-21 15:21 -------- d-----w- c:\programme\ESET
2011-12-21 13:43 . 2011-12-21 13:43 -------- d-----w- c:\windows\ServicePackFiles
2011-12-21 13:24 . 2008-06-14 17:57 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2011-12-21 13:24 . 2008-06-14 17:57 273024 ------w- c:\windows\system32\drivers\bthport.sys
2011-12-21 13:19 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-12-21 12:51 . 2011-12-21 12:51 -------- d-----w- c:\dokumente und einstellungen\Metzger\Anwendungsdaten\Malwarebytes
2011-12-21 12:51 . 2011-12-21 12:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-12-21 12:51 . 2011-12-21 12:51 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-12-21 12:51 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-21 12:35 . 2011-12-21 12:36 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2011-12-21 12:08 . 2011-12-21 12:31 -------- d-----w- c:\windows\system32\NtmsData
2011-12-21 11:52 . 2011-12-21 11:52 -------- d-----w- c:\dokumente und einstellungen\Metzger\Anwendungsdaten\Avira
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-21 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2005-09-25 155648]
"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-20 8429568]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-04-20 19:32 8429568 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-04-20 19:32 81920 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-04-20 19:32 1626112 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-05-07 16:51 1826816 ----a-w- c:\windows\SkyTel.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [18.09.2007 18:08 13696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.09.2010 09:27 136360]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [28.09.2007 13:21 15104]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-22 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-12-21 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-ICQToolbar - c:\programme\ICQ6Toolbar\ICQUnToolbar.exe
AddRemove-Titan Poker - c:\poker\Titan Poker\_SetupPoker.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-22 21:30
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-22 21:31:09
ComboFix-quarantined-files.txt 2011-12-22 20:31
.
Vor Suchlauf: 6 Verzeichnis(se), 239.804.616.704 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 239.766.519.808 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - B73C3FC570F4BD691EB6CEB79169FC73
ausgeführt von:: c:\dokumente und einstellungen\Metzger\Desktop\ComboFix.exe Könntest du dazu vielleicht kurz was sagen? Wie erwähnt, sollte es diesen Benutzer nicht geben. Grüße |
|
23.12.2011, 16:38
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Großbaustelle: PC der Eltern - Mehrere Trojaner in der RegistryZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.12.2011, 17:05
| #11 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Okay ich werd da gleich nochmal nachfragen, warum das nun so heisst. Ergibt halt keinen Sinn, aber ist eben nicht mein eigener PC. Solange da nun niemand anders rumwurschtelt, ist es ja auch egal wie das Konto heisst! Wie geht es ansonsten weiter? |
|
23.12.2011, 17:37
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.12.2011, 20:03
| #13 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry GMER: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-23 19:32:17
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e SAMSUNG_HD250HJ rev.FH100-05
Running: rx7m49yx.exe; Driver: C:\DOKUME~1\Metzger\LOKALE~1\Temp\pxtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT BA78AF04 ZwClose
SSDT BA78AEBE ZwCreateKey
SSDT BA78AF0E ZwCreateSection
SSDT BA78AEB4 ZwCreateThread
SSDT BA78AEC3 ZwDeleteKey
SSDT BA78AECD ZwDeleteValueKey
SSDT BA78AEFF ZwDuplicateObject
SSDT BA78AED2 ZwLoadKey
SSDT BA78AEA0 ZwOpenProcess
SSDT BA78AEA5 ZwOpenThread
SSDT BA78AEDC ZwReplaceKey
SSDT BA78AED7 ZwRestoreKey
SSDT BA78AF13 ZwSetContextThread
SSDT BA78AEC8 ZwSetValueKey
SSDT BA78AEAF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB95C7380, 0x2F2537, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 412D203E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 412D1FBF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 412D2003 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 412D1F4B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 412D1F85 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 412D2079 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 4118176A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1664] ole32.dll!OleLoadFromStream 774FA257 5 Bytes JMP 412D223B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
OSAM OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 19:40:10 on 23.12.2011 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17055 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Ahead Software AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "BIOS" (BIOS) - "BIOSTAR Group" - C:\WINDOWS\system32\drivers\BIOS.sys "catchme" (catchme) - ? - C:\DOKUME~1\Metzger\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "InCD Reader" (InCDRm) - ? - C:\WINDOWS\System32\drivers\InCDRm.sys (File not found) "InCDPass" (InCDPass) - ? - C:\WINDOWS\System32\drivers\InCDPass.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MBAMSwissArmy" (MBAMSwissArmy) - ? - C:\WINDOWS\system32\drivers\mbamswissarmy.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "pxtdqpow" (pxtdqpow) - ? - C:\DOKUME~1\Metzger\LOKALE~1\Temp\pxtdqpow.sys (Hidden registry entry, rootkit activity | File not found) "Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / hxxp://static.ak.schuelervz.net/photouploader/ImageUploader4.cab {7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10p.ocx / hxxp://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "ICQ6" - ? - C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe (File not found) {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL {77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll {9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll {22BF413B-C6D2-4d91-82A9-A0F997BA588C} "Skype add-on (mastermind)" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Metzger\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "EEventManager" - "SEIKO EPSON CORPORATION" - C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru aswMBR: Code:
ATTFilter
aswMBR version 0.9.9.1116 Copyright(c) 2011 AVAST Software
Run date: 2011-12-23 19:44:08
-----------------------------
19:44:08.109 OS Version: Windows 5.1.2600 Service Pack 2
19:44:08.109 Number of processors: 2 586 0x6B01
19:44:08.109 ComputerName: *** UserName: ***
19:44:08.546 Initialize success
19:45:57.531 AVAST engine defs: 11122300
19:46:02.109 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e
19:46:02.109 Disk 0 Vendor: SAMSUNG_HD250HJ FH100-05 Size: 238475MB BusType: 3
19:46:04.140 Disk 0 MBR read successfully
19:46:04.140 Disk 0 MBR scan
19:46:04.140 Disk 0 Windows XP default MBR code
19:46:04.156 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 238464 MB offset 63
19:46:04.171 Disk 0 scanning sectors +488376000
19:46:04.265 Disk 0 scanning C:\WINDOWS\system32\drivers
19:46:18.734 Service scanning
19:46:19.671 Modules scanning
19:46:40.515 Disk 0 trace - called modules:
19:46:40.531 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
19:46:40.531 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2edab8]
19:46:40.531 3 CLASSPNP.SYS[ba0e905b] -> nt!IofCallDriver -> \Device\0000006b[0x8a2cc9e8]
19:46:40.531 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-e[0x8a2cbd98]
19:46:40.968 AVAST engine scan C:\WINDOWS
19:47:28.531 AVAST engine scan C:\WINDOWS\system32
19:50:44.531 AVAST engine scan C:\WINDOWS\system32\drivers
19:51:25.500 AVAST engine scan C:\Dokumente und Einstellungen\Metzger
19:54:41.406 AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:55:31.828 Scan finished successfully
19:56:11.343 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Metzger\Desktop\MBR.dat"
19:56:11.343 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Metzger\Desktop\aswMBR.txt"
Die Metzger Geschichte scheint vom Vorbesitzer zu kommen. Wurde dann wohl einfach der Benutzername geändert. |
|
23.12.2011, 21:15
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.12.2011, 17:29
| #15 |
| | Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 911122403
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
24.12.2011 16:02:05
mbam-log-2011-12-24 (16-02-04).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 194409
Laufzeit: 16 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
SUPERAntispyware: Anmerkung: Von 227 Funden waren 226 Cookies. Diese habe ich nun nicht im Log mit aufgeführt, das wäre zu viel Arbeit gewesen die alle auszusternen. Leider habe ich, wie ich im Nachhinein gelesen habe, fälschlicherweise "Threats Remove" geklickt. Ich hoffe ich habe die Arbeit damit nun nicht unnötigerweise erschwert. Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 12/24/2011 at 04:31 PM
Application Version : 5.0.1142
Core Rules Database Version : 8087
Trace Rules Database Version: 5899
Scan type : Complete Scan
Total Scan Time : 00:23:29
Operating System Information
Windows XP Professional 32-bit, Service Pack 2 (Build 5.01.2600)
Administrator
Memory items scanned : 440
Memory threats detected : 0
Registry items scanned : 35889
Registry threats detected : 0
File items scanned : 40897
File threats detected : 227
Adware.Tracking Cookie
.
.
.
Trojan.Agent/Gen-Malintent
C:\PROGRAMME\WINRAR\DEFAULT.SFX
ESET: Anm: Hier lief der Avira Scanner noch 15 Minuten mit. Habe ihn dann deaktiviert, während des Scans. Ist das Log verwendbar oder soll ich lieber nochmal scannen? Code:
ATTFilter
# version=7
# iexplore.exe=7.00.6000.17055 (vista_gdr.100414-0533)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4378e0338f181f4b9c9fa244425f78a8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-24 04:15:30
# local_time=2011-12-24 05:15:30 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 134588814 134588814 0 0
# compatibility_mode=1797 16775129 100 93 547352 61278024 397488 0
# compatibility_mode=8192 67108863 100 0 263856 263856 0 0
# scanned=40848
# found=0
# cleaned=0
# scan_time=2163
Avira hat dann während der normalen Arbeit folgenden Trojaner angezeigt, den ich in Quarantäne verschoben habe: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 24. Dezember 2011 15:52
Es wird nach 3592199 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 000014***-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***
Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 03.07.2011 10:22:58
AVSCAN.DLL : 10.0.5.0 57192 Bytes 03.07.2011 10:22:58
LUKE.DLL : 10.3.0.5 45416 Bytes 03.07.2011 10:22:58
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 03.07.2011 10:22:58
AVREG.DLL : 10.3.0.9 88833 Bytes 13.07.2011 19:12:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 16:13:54
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:45:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:25:33
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 15:44:34
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 08:02:25
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 10:06:27
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 16:04:10
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 10:07:13
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 10:07:13
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 10:07:13
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 10:07:13
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 10:07:13
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 10:46:18
VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 10:46:19
VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 10:46:20
VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 17:08:12
VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 17:10:17
VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 14:57:04
VBASE019.VDF : 7.11.19.77 144896 Bytes 13.12.2011 18:45:14
VBASE020.VDF : 7.11.19.115 177664 Bytes 15.12.2011 15:59:32
VBASE021.VDF : 7.11.19.137 139776 Bytes 16.12.2011 15:59:32
VBASE022.VDF : 7.11.19.138 2048 Bytes 16.12.2011 15:59:32
VBASE023.VDF : 7.11.19.139 2048 Bytes 16.12.2011 15:59:33
VBASE024.VDF : 7.11.19.140 2048 Bytes 16.12.2011 15:59:33
VBASE025.VDF : 7.11.19.141 2048 Bytes 16.12.2011 15:59:33
VBASE026.VDF : 7.11.19.142 2048 Bytes 16.12.2011 15:59:33
VBASE027.VDF : 7.11.19.143 2048 Bytes 16.12.2011 15:59:33
VBASE028.VDF : 7.11.19.144 2048 Bytes 16.12.2011 15:59:33
VBASE029.VDF : 7.11.19.145 2048 Bytes 16.12.2011 15:59:33
VBASE030.VDF : 7.11.19.146 2048 Bytes 16.12.2011 15:59:33
VBASE031.VDF : 7.11.19.162 105472 Bytes 19.12.2011 00:14:20
Engineversion : 8.2.8.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 29.10.2011 15:15:08
AESCRIPT.DLL : 8.1.3.92 495996 Bytes 17.12.2011 15:59:38
AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 17:04:26
AESBX.DLL : 8.2.4.5 434549 Bytes 04.12.2011 10:46:33
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 13:51:43
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 18:45:16
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 17.12.2011 15:59:37
AEHEUR.DLL : 8.1.3.8 4231543 Bytes 17.12.2011 15:59:37
AEHELP.DLL : 8.1.18.0 254327 Bytes 29.10.2011 15:15:04
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 14:57:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 17:03:40
AECORE.DLL : 8.1.24.2 201080 Bytes 17.12.2011 15:59:34
AEBB.DLL : 8.1.1.0 53618 Bytes 22.09.2010 08:34:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 03.07.2011 10:22:58
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 18:47:31
AVARKT.DLL : 10.0.26.1 255336 Bytes 03.07.2011 10:22:58
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 03.07.2011 10:22:58
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 03.07.2011 10:22:57
RCTEXT.DLL : 10.0.64.0 98664 Bytes 03.07.2011 10:22:57
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e9f17c1a\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Samstag, 24. Dezember 2011 15:52
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gtb1.tmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAAE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\System Volume Information\_restore{402AC9A7-22A2-46BE-90B1-54E15AF30926}\RP147\A0331506.dll'
C:\System Volume Information\_restore{402AC9A7-22A2-46BE-90B1-54E15AF30926}\RP147\A0331506.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{402AC9A7-22A2-46BE-90B1-54E15AF30926}\RP147\A0331506.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd54cd6.qua' verschoben!
Ende des Suchlaufs: Samstag, 24. Dezember 2011 15:56
Benötigte Zeit: 00:01 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
34 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
33 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Danke für eure tolle Arbeit und Frohe Weihnachten!  |
|
| Themen zu Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry |
| 0x00000001, antivir, avira, browser, desktop, dllhost.exe, einstellungen, error, fehler, fehlercode 0, google, helper, homepage, internet, intranet, logfile, microsoft office word, nt.dll, picasa, plug-in, prozesse, realtek, registry, required, rundll, sched.exe, security, sicherheit, software, svchost.exe, system error, trojaner, udp, updates, verweise, win32k.sys, windows, windows internet |
Linear-Darstellung
