Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Befall mit 3cel21f1px - TROJ_DLOADR.KOS

Befall mit 3cel21f1px - TROJ_DLOADR.KOS


Log-Analyse und Auswertung: Befall mit 3cel21f1px - TROJ_DLOADR.KOS

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 22.06.2012, 21:55   #1
andreas6
 
Befall mit 3cel21f1px - TROJ_DLOADR.KOS - Standard

Befall mit 3cel21f1px - TROJ_DLOADR.KOS


Hallo Allerseits,

ich bin heute auf einen Virus gestoßen. Mein Protokoll dazu mit den eingefügten Dateien der einzelnen Aktionen:

22.06.2012, mittags

Infektion auf PC *** (XP, SP3, aktuelle Updates, TrendMicro-Antivirus), erkannt durch Zufall bei der Installation einer Anwendung.

Aus Gewohnheit den Taskmanager geöffnet, eine 3cel21f1px.exe im Speicher. Prozess beendet, Datei im Userprofil gefunden. Ließ sich nicht entfernen. Aufruf in der Registry gesucht und gefunden, nach Berechtigungsanpassung entfernt. Die Einträge dort sind nach Neustart wieder vorhanden. Weitere Einträge mit 20c5b8c97b268f19, welche dazu gehören, sind nicht zugreifbar wegen fehlender Berechtigungen. Die Änderung der Berechtigungen daran wird verweigert.

Der ursprünglich installierte TrendMicro Antivirus war seit dem Befall deaktiviert, konnte auch keine Updates mehr holen. Also diesen deinstalliert. Die Installation einer aktuelleren Version schlägt fehl (Fehlermeldung als Grafik gespeichert, kann vorgelegt werden).

3cel21f1px.exe zu Virustotal.com geladen, Befall bestätigt.

TrendMicro Housecall benutzt, voller Scan. Protokoll:

Code:
ATTFilter
Damage Cleanup Engine (DCE)  6.5(Build 1055)Windows XP(Build 2600: Service Pack 3)
Start time : Fr Jun 22 2012 13:35:39Load Damage Cleanup Template (DCT) "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HouseCall\pattern\TMRDCT.ptn" (version ) 

[fail]Load Damage Cleanup Template (DCT) "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HouseCall\pattern\tsc.ptn" (version 1210) 

[success]GenericClean::Pattern:WORM_DOWNAD,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe 

GenericClean::Pattern:PE_PATCHEP.A,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe 

GenericClean::Pattern:BKDR_TIDIES,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe 

GenericClean::Pattern:BKDR_POISON,Virus Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe TSC_GENCLEAN[virus 

found]-->reboot delete file("C:\Dokumente und Einstellungen\***\3cel21f1px.exe","","") successGenericClean::Pattern:TSC_GENCLEAN,Virus 

Name:TROJ_DLOADR.KOS,Virus File Path:C:\Dokumente und Einstellungen\***\3cel21f1px.exe Complete time : Fr Jun 22 2012 13:35:50Execute pattern count(5), Virus 

found count(1), Virus clean count(1), Clean failed count(0)
Vor Ort aufgegeben, aber ein Fernsteuerprogramm installiert. Weitere Arbeiten vom heimischen PC aus per VPN-Verbindung erledigt.

Malwarebytes geholt, aktualisiert, Quick-Scan. Protokoll:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.22.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: *** [Administrator]

Schutz: Deaktiviert

22.06.2012 20:03:59
mbam-log-2012-06-22 (20-03-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 362320
Laufzeit: 2 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in 

Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in 

Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Voller Scan von Malwarebytes. Protokoll:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.22.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: *** [Administrator]

Schutz: Deaktiviert

22.06.2012 20:08:49
mbam-log-2012-06-22 (20-08-49).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 617085
Laufzeit: 52 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\System Volume Information\_restore{C99FDE5B-332F-4BD1-863B-3710660C5AC5}\RP215\A0058821.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne 

gestellt.
C:\System Volume Information\_restore{C99FDE5B-332F-4BD1-863B-3710660C5AC5}\RP215\A0058852.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne 

gestellt.
C:\System Volume Information\_restore{C99FDE5B-332F-4BD1-863B-3710660C5AC5}\RP215\A0058891.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne 

gestellt.

(Ende)
Defogger geholt, Disable, Finished, geschlossen.

OTL geholt, Quickscan laufen lassen. Protokoll (OTL.txt):

Code:
ATTFilter
OTL logfile created on: 22.06.2012 21:49:30 - Run 1
OTL by OldTimer - Version 3.2.51.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,50 Gb Available Physical Memory | 75,26% Memory free
3,85 Gb Paging File | 3,53 Gb Available in Paging File | 91,65% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 233,80 Gb Total Space | 143,96 Gb Free Space | 61,57% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.22 21:49:03 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe
PRC - [2010.10.15 05:16:30 | 000,011,120 | ---- | M] (Haufe Mediengruppe) -- C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe
PRC - [2010.07.08 15:28:56 | 000,815,704 | ---- | M] (GlavSoft LLC.) -- C:\Programme\TightVNC\tvnserver.exe
PRC - [2009.09.22 11:50:36 | 000,073,728 | ---- | M] (Software 2000 Limited) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE
PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 14:00:00 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2010.10.15 05:58:10 | 000,013,168 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\TextIndexNG2\normalizer.pyd
MOD - [2010.10.15 05:58:08 | 000,012,656 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\TextIndexNG2\indexsupport.pyd
MOD - [2010.10.15 05:58:06 | 000,341,360 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\_jpype.pyd
MOD - [2010.10.15 05:58:04 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\ZODB.winlock.pyd
MOD - [2010.10.15 05:57:58 | 000,013,168 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Record._Record.pyd
MOD - [2010.10.15 05:57:54 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Products.ZCTextIndex.stopper.pyd
MOD - [2010.10.15 05:57:52 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Products.ZCTextIndex.okascore.pyd
MOD - [2010.10.15 05:57:44 | 000,014,192 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\persistent.TimeStamp.pyd
MOD - [2010.10.15 05:57:42 | 000,021,360 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\persistent.cPersistence.pyd
MOD - [2010.10.15 05:57:42 | 000,020,848 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\persistent.cPickleCache.pyd
MOD - [2010.10.15 05:57:40 | 000,011,120 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Persistence._Persistence.pyd
MOD - [2010.10.15 05:57:36 | 000,011,632 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\MultiMapping._MultiMapping.pyd
MOD - [2010.10.15 05:57:34 | 000,011,120 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Missing._Missing.pyd
MOD - [2010.10.15 05:57:32 | 000,010,096 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\MethodObject._MethodObject.pyd
MOD - [2010.10.15 05:57:30 | 000,271,728 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\M2Crypto.__m2crypto.pyd
MOD - [2010.10.15 05:57:28 | 000,020,848 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\ExtensionClass._ExtensionClass.pyd
MOD - [2010.10.15 05:57:26 | 000,020,336 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\DocumentTemplate.cDocumentTemplate.pyd
MOD - [2010.10.15 05:57:24 | 000,010,608 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\ComputedAttribute._ComputedAttribute.pyd
MOD - [2010.10.15 05:57:22 | 000,058,736 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._OOBTree.pyd
MOD - [2010.10.15 05:57:20 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._OIBTree.pyd
MOD - [2010.10.15 05:57:20 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._IOBTree.pyd
MOD - [2010.10.15 05:57:18 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._IIBTree.pyd
MOD - [2010.10.15 05:57:14 | 000,062,832 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\BTrees._fsBTree.pyd
MOD - [2010.10.15 05:57:12 | 000,026,480 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\Acquisition._Acquisition.pyd
MOD - [2010.10.15 05:57:10 | 000,026,992 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\Zope\lib\python\AccessControl.cAccessControl.pyd
MOD - [2010.10.15 05:22:34 | 000,037,744 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32service.pyd
MOD - [2010.10.15 05:22:32 | 000,107,888 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32security.pyd
MOD - [2010.10.15 05:22:30 | 000,032,112 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32process.pyd
MOD - [2010.10.15 05:22:26 | 000,021,360 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32pipe.pyd
MOD - [2010.10.15 05:22:14 | 000,083,312 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32file.pyd
MOD - [2010.10.15 05:22:12 | 000,019,312 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32evtlog.pyd
MOD - [2010.10.15 05:22:10 | 000,019,312 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32event.pyd
MOD - [2010.10.15 05:22:06 | 000,075,120 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\win32api.pyd
MOD - [2010.10.15 05:22:02 | 000,029,552 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\lib\site-packages\win32\servicemanager.pyd
MOD - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe
MOD - [2010.10.15 05:21:46 | 000,103,792 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\pywintypes24.dll
MOD - [2010.10.15 05:16:48 | 000,017,264 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\_ssl.pyd
MOD - [2010.10.15 05:16:46 | 000,054,640 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\_socket.pyd
MOD - [2010.10.15 05:16:42 | 000,071,024 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\zlib.pyd
MOD - [2010.10.15 05:16:38 | 000,140,656 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\pyexpat.pyd
MOD - [2010.10.15 05:16:38 | 000,013,680 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\select.pyd
MOD - [2010.10.15 05:11:22 | 000,161,136 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\ssleay32.dll
MOD - [2010.10.15 05:11:20 | 000,832,880 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\DLLS\libeay32.dll
MOD - [2010.10.14 07:38:50 | 000,583,168 | ---- | M] () -- C:\Programme\Haufe\iDesk\iDeskService\osr32v10.dll
MOD - [2010.07.08 15:28:56 | 000,068,696 | ---- | M] () -- C:\Programme\TightVNC\screenhooks.dll
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012.06.19 07:42:49 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance 

Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.05.07 08:59:15 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- 

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe 

-- (MBAMService)
SRV - [2011.07.20 06:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft 

Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2010.10.15 05:21:48 | 000,071,024 | ---- | M] () [Auto | Running] -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe -- (HRService)
SRV - [2010.07.08 15:28:56 | 000,815,704 | ---- | M] (GlavSoft LLC.) [Auto | Running] -- C:\Programme\TightVNC\tvnserver.exe -- (tvnserver)
SRV - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection 

Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2008.06.24 17:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- 

(NMIndexingService)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source 

Engine\OSE.EXE -- (ose)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame 

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | Disabled | Stopped] -- System32\DRIVERS\intelide.sys -- (IntelIde)
DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys 

-- (MBAMProtector)
DRV - [2010.09.30 22:59:16 | 000,092,112 | ---- | M] (Trend Micro Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\tmtdi.sys -- (tmtdi)
DRV - [2008.06.02 18:10:18 | 004,752,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys 

-- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.05.07 13:31:16 | 000,106,368 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- 

C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [1999.01.15 07:38:00 | 000,073,216 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\SENTINEL.SYS -- (Sentinel)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll 

(Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{22C7F6C6-8D67-4534-92B5-529A0EC09405}: C:\Programme\Trend 

Micro\AMSP\module\20004\FxExt\firefoxextension\
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.19 07:42:49 | 

000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.05 10:17:00 | 000,000,000 

| ---D | M]
 
[2012.06.22 13:25:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2011.11.09 15:35:39 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.06.19 07:42:49 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.02.16 09:00:13 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.16 09:00:13 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.02.16 09:00:13 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.16 09:00:13 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.16 09:00:13 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.16 09:00:13 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 

(Adobe Systems Incorporated)
O2 - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1242\6.6.1089\TmIEPlg.dll File not 

found
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [tvncontrol] C:\Programme\TightVNC\tvnserver.exe (GlavSoft LLC.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hardcopy.exe.lnk = C:\Hardcopy\hardcopy.exe (Siegfried Weckmann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} https://w2ksrv:4343/officescan/console/ClientInstall/WinNTChk.cab (ObjWinNTCheck Class)
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} https://w2ksrv:4343/officescan/console/ClientInstall/setup.cab (OfficeScan Corp Edition Web-Deployment 

SetupCtrl Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1340370020557 

(WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC2A} https://***:4343/SMB/console/html/root/AtxEnc.cab (Encrypt Class)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4DCD80C3-0C88-45F8-8D91-C9FA1CE92FFD}: NameServer = *.*.*.*
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft 

Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft 

Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft 

Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft 

Corporation)
O18 - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Programme\Trend Micro\AMSP\Module\20004\1.6.1242\6.6.1089\TmIEPlg.dll File not found
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft 

Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:AutorunsDisabled () - 
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.11.15 17:20:00 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.22 20:01:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2012.06.22 20:01:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.06.22 20:01:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.06.22 20:01:48 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.06.22 20:01:48 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.06.22 20:00:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2012.06.22 20:00:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
[2012.06.22 19:49:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search
[2012.06.22 19:42:52 | 000,092,112 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmtdi.sys
[2012.06.22 19:42:48 | 000,191,248 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2012.06.22 16:30:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TightVNC
[2012.06.22 15:02:46 | 000,000,000 | ---D | C] -- C:\Programme\TightVNC
[2012.06.22 15:02:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TightVNC
[2012.06.22 15:02:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TightVNC
[2012.06.22 14:50:22 | 000,081,168 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmactmon.sys
[2012.06.22 14:50:22 | 000,065,296 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmevtmgr.sys
[2012.06.22 13:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
[2012.06.22 13:38:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2012.06.22 13:35:18 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\PrivacIE
[2012.06.22 13:26:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
[2012.06.22 13:25:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2012.06.22 13:25:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
[2012.06.22 13:18:19 | 000,000,000 | ---D | C] -- C:\Programme\Autoruns
[2012.06.22 13:16:42 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2012.06.22 12:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Tools
[2012.06.22 12:55:08 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Visual Studio
[2012.06.22 12:54:46 | 000,000,000 | ---D | C] -- C:\Programme\Snapshot Viewer
[2012.06.22 12:54:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\Twain32
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.22 21:47:20 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.06.22 21:10:09 | 000,001,558 | ---- | M] () -- C:\WINDOWS\hardcopy.ini
[2012.06.22 21:10:08 | 000,248,739 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2012.06.22 21:10:04 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.22 21:03:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.22 21:03:01 | 2145,570,816 | -HS- | M] () -- C:\hiberfil.sys
[2012.06.22 17:38:31 | 001,804,221 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\census.cache
[2012.06.22 17:38:24 | 000,217,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ars.cache
[2012.06.22 14:58:15 | 000,638,920 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.22 14:58:15 | 000,444,214 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.22 14:58:15 | 000,146,722 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.22 14:58:15 | 000,072,472 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.22 14:42:00 | 000,462,316 | ---- | M] () -- C:\WINDOWS\System32\prfh0407.dat
[2012.06.22 14:42:00 | 000,085,526 | ---- | M] () -- C:\WINDOWS\System32\prfc0407.dat
[2012.06.22 13:50:42 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2012.06.22 13:40:58 | 000,014,640 | ---- | M] () -- C:\WINDOWS\cfgall.ini
[2012.06.22 13:36:59 | 000,000,430 | ---- | M] () -- C:\WINDOWS\DCEBOOT.RST
[2012.06.22 13:35:50 | 000,022,032 | ---- | M] () -- C:\WINDOWS\DCEBoot.exe
[2012.06.22 13:19:38 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.06.22 13:19:38 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.06.22 13:19:37 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.06.22 13:06:34 | 000,423,816 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.22 12:55:45 | 000,004,335 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2012.06.22 12:55:45 | 000,000,487 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2012.06.22 12:55:45 | 000,000,063 | ---- | M] () -- C:\WINDOWS\mdm.ini
[2012.06.06 17:27:23 | 000,000,536 | ---- | M] () -- C:\WINDOWS\Integra.ini
[2012.05.31 16:42:10 | 000,005,216 | ---- | M] () -- C:\outputDoc.xml
[2012.05.31 16:39:03 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
[2012.05.31 16:38:32 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
[2012.05.29 07:43:28 | 000,067,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\20c5b8c97b268f19.sys
[2012.05.25 08:13:57 | 000,102,400 | ---- | M] () -- C:\WINDOWS\RegBootClean.ex0
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.22 21:47:20 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.06.22 17:38:31 | 001,804,221 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\census.cache
[2012.06.22 17:38:24 | 000,217,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ars.cache
[2012.06.22 13:36:59 | 000,000,430 | ---- | C] () -- C:\WINDOWS\DCEBOOT.RST
[2012.06.22 13:35:50 | 000,022,032 | ---- | C] () -- C:\WINDOWS\DCEBoot.exe
[2012.06.22 13:26:45 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2012.06.22 13:15:14 | 2145,570,816 | -HS- | C] () -- C:\hiberfil.sys
[2012.06.22 12:55:45 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2012.06.22 12:55:18 | 000,002,541 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Access.lnk
[2012.05.29 07:43:28 | 000,067,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\20c5b8c97b268f19.sys
[2012.05.25 08:13:57 | 000,102,400 | ---- | C] () -- C:\WINDOWS\RegBootClean.ex0
[2012.05.24 12:38:47 | 000,005,216 | ---- | C] () -- C:\outputDoc.xml
[2012.05.14 16:57:48 | 000,319,952 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012.02.16 08:40:58 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.11.29 09:44:33 | 000,005,938 | ---- | C] () -- C:\WINDOWS\cfgrt_ex.ini
[2011.11.09 15:35:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.02.16 16:37:20 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2010.10.21 14:29:17 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.10.11 10:55:56 | 000,001,743 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2010.07.22 14:06:01 | 000,462,316 | ---- | C] () -- C:\WINDOWS\System32\prfh0407.dat
[2010.07.22 14:06:01 | 000,085,526 | ---- | C] () -- C:\WINDOWS\System32\prfc0407.dat
[2010.06.08 09:15:21 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\docInfo
[2010.06.08 09:15:21 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
[2010.06.08 09:14:04 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\designjet
[2010.06.08 09:14:04 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
[2009.08.10 09:13:39 | 000,003,568 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2009.07.08 15:46:41 | 000,014,852 | ---- | C] () -- C:\Programme\settings.dat
 
========== LOP Check ==========
 
[2012.06.22 16:30:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TightVNC
[2012.06.22 13:38:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2012.06.22 19:49:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search
[2011.02.22 14:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
[2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESRI
[2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Filter
[2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Animals
[2011.02.22 14:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2011.02.22 14:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
[2011.02.22 14:14:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
 
========== Purity Check ==========
 
 

< End of report >
Noch ein Protokoll (extras.txt):

Code:
ATTFilter
OTL Extras logfile created on: 22.06.2012 21:49:30 - Run 1
OTL by OldTimer - Version 3.2.51.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,50 Gb Available Physical Memory | 75,26% Memory free
3,85 Gb Paging File | 3,53 Gb Available in Paging File | 91,65% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 233,80 Gb Total Space | 143,96 Gb Free Space | 61,57% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\TightVNC\tvnserver.exe" = C:\Programme\TightVNC\tvnserver.exe:*:Enabled:TightVNC Server -- (GlavSoft LLC.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{00100407-78E1-11D2-B60F-006097C998E7}" = Microsoft Access 2000 SR-1
"{02C85EC5-E864-4847-AF55-42730861004C}" = MrvlUsgTracking
"{07DF154F-D809-11DF-920A-005056B12123}" = Haufe iDesk-Service
"{0F32914F-A633-4516-B531-7084C8F19F93}" = Haufe iDesk-Browser
"{13F00518-807A-4B3A-83B0-A7CD90F3A398}" = MarketResearch
"{237CD223-1B9D-47E8-A76C-E478B83CCEA2}" = File Uploader
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21
"{2767DEDE-EA9D-4FCE-A06A-40F4DD293330}" = hppusgP1000
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5783F2D6-7028-0407-0000-0060B0CE6BBA}" = DWG TrueView 2009
"{58ECE031-9AAD-4011-B34A-BC78E77527E2}" = hppMSRedist
"{664C3BDC-1BCF-4EA6-A127-E61430501031}" = Nero 8 Essentials
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7902E313-FF0F-4493-ACB1-A8147B78DCD0}" = HPSSupply
"{87441A59-5E64-4096-A170-14EFE67200C3}" = Picture Control Utility
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{993E1907-DC8A-485F-B724-9BCD3F9EA468}" = ArcGIS Engine Runtime
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{B909C433-533E-4331-989F-EA6BBEC7A6DD}" = LEXsoft Professional 3.1
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX
"{CB0A356C-F46F-4ECB-9F7A-C892FA154096}" = GeoOffice express 2.2.5
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D2FCC1AE-6311-47C5-8130-C6C66D77DD71}" = Nikon Message Center
"{E0D51394-1D45-460A-B62D-383BC4F8B335}" = QuickTime
"{E3034C24-8549-4DC4-81B3-B79F1DEDB1D1}" = Haufe Formular-Manager
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{E9757890-7EC5-46C8-99AB-B00F07B6525C}" = Nikon Transfer
"{F007CBCE-D714-4C0B-8CE9-9B0D78116468}" = ViewNX
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F18046C5-1C4E-4BE1-A3D6-A6F970E2E8E8}" = ArcSoft Panorama Maker 5
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"DWG TrueView 2009" = DWG TrueView 2009
"GPL Ghostscript 9.00" = GPL Ghostscript 9.00
"GSview 4.9" = GSview 4.9
"Hardcopy" = Uninstall Hardcopy
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HP LaserJet P1000 series" = HP LaserJet P1000 series
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"numpy-py2.5" = Python 2.5 numpy-1.0.3
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"PDFCreator Toolbar" = PDFCreator Toolbar
"PROHYBRIDR" = 2007 Microsoft Office system
"Python 2.5 numpy-1.0.3" = Python 2.5 numpy-1.0.3
"Python 2.5.1" = Python 2.5.1
"Quantum GIS Copiapo" = Quantum GIS Copiapo 1.6.0
"Rainbow Sentinel Driver" = Sentinel System Driver
"TightVNC" = TightVNC 2.0.2
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 22.06.2012 08:50:28 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung utilRollback.exe, Version 1.6.0.1242, fehlgeschlagenes
 Modul utilDebugLog.dll, Version 1.6.0.1244, Fehleradresse 0x00001e49.
 
Error - 22.06.2012 08:51:01 | Computer Name = *** | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich -1574768970.
 
Error - 22.06.2012 09:59:08 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes
 Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030.
 
Error - 22.06.2012 10:04:11 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes
 Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030.
 
Error - 22.06.2012 10:09:15 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes
 Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030.
 
Error - 22.06.2012 10:14:18 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes
 Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030.
 
Error - 22.06.2012 10:19:22 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes
 Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030.
 
Error - 22.06.2012 10:24:24 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tvnserver.exe, Version 2.0.2.0, fehlgeschlagenes
 Modul tvnserver.exe, Version 2.0.2.0, Fehleradresse 0x00027030.
 
Error - 22.06.2012 13:42:55 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung utilRollback.exe, Version 1.6.0.1242, fehlgeschlagenes
 Modul utilDebugLog.dll, Version 1.6.0.1244, Fehleradresse 0x00001e49.
 
Error - 22.06.2012 13:43:03 | Computer Name = *** | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich -1574768970.
 
[ OSession Events ]
Error - 29.03.2011 08:10:04 | Computer Name = *** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 14470
 seconds with 3180 seconds of active time.  This session ended with a crash.
 
Error - 31.08.2011 04:39:38 | Computer Name = *** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 3825
 seconds with 2040 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 19.06.2012 01:38:58 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%31
 
Error - 20.06.2012 02:53:50 | Computer Name = *** | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
 "\Device\NetBT_Tcpip_{4DCD80C3-0C88-45F8-8D91-C9FA1CE92FFD}" zu oft fehl.  Der Sicherungssuchdienst
 wird beendet.
 
Error - 21.06.2012 01:35:18 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%31
 
Error - 21.06.2012 01:35:18 | Computer Name = *** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Trend Micro Filter" ist vom Dienst "Trend Micro PreFilter"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 21.06.2012 01:35:18 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%31
 
Error - 21.06.2012 01:35:48 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%31
 
Error - 21.06.2012 04:43:54 | Computer Name = *** | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
 "\Device\NetBT_Tcpip_{4DCD80C3-0C88-45F8-8D91-C9FA1CE92FFD}" zu oft fehl.  Der Sicherungssuchdienst
 wird beendet.
 
Error - 22.06.2012 01:34:50 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%31
 
Error - 22.06.2012 01:34:50 | Computer Name = *** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Trend Micro Filter" ist vom Dienst "Trend Micro PreFilter"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 22.06.2012 01:34:50 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro PreFilter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%31
 
 
< End of report >
Der Virus steckt offenbar noch in der
C:\WINDOWS\System32\drivers\20c5b8c97b268f19.sys.

GMER geholt, bringt nur Fehlermeldungen (als Grafik gespeichert), findet auch nichts. Beendet.

Ich könnte noch versuchen, von lokaler Cd ein Windows PE zu starten und diese sys-Datei und deren Aufrufe zu beseitigen, weiß aber nicht, ob das erfolgreich ist (erfahrungsgemäß klappt das gut). Dazu müsste ich allerdings wieder physisch an die Maschine ran und das kostet mich Sprit und Zeit. Gibt es eine Möglichkeit, das aus der Ferne zu erledigen? Ich lasse die Kiste jetzt laufen, komme jederzeit aus der Ferne ran, solange sie läuft. Ich habe leider nicht darauf geachtet, ob im Bios ein WakeOnLan aktiviert ist...

MfG. Andreas

Hallo,

nach einigen Versuchen ist es mir gelungen, die benannte sys-Datei zu löschen. Das geht auch aus der Ferne am laufenden System, wenn man die Datei mit 8.3-Name (per dir /x ermittelt) als PendingFileRenameOperations in die Registry einträgt. Beim nächsten Neustart ist die Datei weg und wird auch nicht mehr im Prozessexplorer aufgelistet. Ich lasse nun erneut alle Suchvorgange laufen.

MfG. Andreas

Alt 23.06.2012, 22:04   #2
andreas6
 
Befall mit 3cel21f1px - TROJ_DLOADR.KOS - Standard

Befall mit 3cel21f1px - TROJ_DLOADR.KOS


Hallo,

es ist alles gut, ich benötige keine Hilfe mehr. Nach Löschen der Datei ließen sie die unzugreifbaren Aufrufe in der Registry auch anfassen und rauswerfen. Kein Tool hat noch Auffälligkeiten gefunden. Die Windows-Updates liefen ganz von allein los und der Antivirus hat sich ganz brav installiert.

Vielen Dank für die vielen Hinweise zu den Tools, welche hier benutzt wurden. Damit bekommt man vieles gerichtet, was manuell kaum zu machen ist. Ein ganzer Koffer voll sinnvoller Zutaten hilft dem erfahrenen Benutzer sehr und ermöglicht die Reparatur von befallenen Systemen.

MfG. Andreas
__________________
Antwort

Themen zu Befall mit 3cel21f1px - TROJ_DLOADR.KOS
aufgegeben, aufrufe, bho, dateisystem, desktop, document, encrypt, error, excel, failed, firefox, firefox 13.0.1, flash player, fontcache, google earth, gruppe, helper, heuristiks/extra, heuristiks/shuriken, index, installation, kis, logfile, microsoft office word, mozilla, office 2007, plug-in, prozess, realtek, registry, rundll, searchscopes, security, software, starten, taskmanager, udp, updates, virus, virustotal.com, windows, windows internet, windows xp


« gelöscht oder nicht? BKA Trojaner - msaffeo.bat | AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen »


Ähnliche Themen: Befall mit 3cel21f1px - TROJ_DLOADR.KOS


  1. WIN / 32 bit BKA .BK .BPD Virus Befall
    Log-Analyse und Auswertung - 18.02.2014 (11)
  2. GVU 2.07 Befall
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (4)
  3. 3cel21f1px.exe Trojaner?
    Log-Analyse und Auswertung - 30.05.2012 (1)
  4. 3cel21f1px.exe: Trojanerbefall?
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (7)
  5. Trojaner 3cel21f1px.exe
    Plagegeister aller Art und deren Bekämpfung - 29.05.2012 (1)
  6. Trojaner-Befall
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (1)
  7. Spambot Befall GMX
    Plagegeister aller Art und deren Bekämpfung - 12.05.2012 (1)
  8. Befall von 2 trojanern
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (1)
  9. Sinowal Befall
    Log-Analyse und Auswertung - 10.02.2012 (1)
  10. Trojaner befall
    Plagegeister aller Art und deren Bekämpfung - 14.04.2009 (1)
  11. Viren-Befall?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2008 (0)
  12. PC Befall
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (0)
  13. Wsnpoem.DV Befall
    Mülltonne - 28.07.2007 (1)
  14. PC befall!!!!
    Plagegeister aller Art und deren Bekämpfung - 30.05.2007 (1)
  15. Spyware Befall?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2006 (2)
  16. W32 Befall
    Plagegeister aller Art und deren Bekämpfung - 05.04.2006 (4)
  17. Befall!
    Log-Analyse und Auswertung - 27.11.2004 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Befall mit 3cel21f1px - TROJ_DLOADR.KOS - Hallo Allerseits, ich bin heute auf einen Virus gestoßen. Mein Protokoll dazu mit den eingefügten Dateien der einzelnen Aktionen: 22.06.2012, mittags Infektion auf PC *** (XP, SP3, aktuelle Updates, TrendMicro-Antivirus), - Befall mit 3cel21f1px - TROJ_DLOADR.KOS...
Archiv
Du betrachtest: Befall mit 3cel21f1px - TROJ_DLOADR.KOS auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54