Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Identifikation von Banking-Trojaner (nach Echtzeitangriff)

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Plagegeister aller Art und deren Bekämpfung: Identifikation von Banking-Trojaner (nach Echtzeitangriff)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2010, 07:53   #1
evildead79
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Beitrag

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Hallo!

Eine Freundin wurde Opfer eines Banking-Trojaners. Sie will eine Inlandsüberweisung ausgefüllt haben und soll dann ordnungsgemäß nach einer iTAN gefragt worden sein. Die eingegebene iTAN wurde jedoch als ungültig erklärt und für eine SEPA-Überweisung nach Großbritannien genutzt (Hintergrundüberweisung).

Die Bank wird übrigens den entstandenen Schaden tragen, obwohl der Betrag nicht zurück gebucht werden konnte.

Ich arbeite seit kurzem in der Digitalforensik und habe sicherheitshalber über einen Schreibblocker eine bitgenaue Kopie ihrer Festplatte angelegt (EnCase).

Ich habe mir dann ihr System angeschaut. Windows XP SP2, Windows Firewall aktiv...die AVIRA-Virendefinitionsdatei war von 2004. ;-)

Ich habe mir die aktiven Prozesse und Dienste mit dem Process Explorer von Sysinternals angeschaut. Alle Prozesse ohne Herstellerangaben oder Signatur konnte ich zuordnen. Anscheinend ist der Prozess des Trojaners unsichtbar. Auch wenn ich einen Browser gestartet habe und das Banking-Portal angewählt habe (hier kurz mit dem Internet verbunden) erschien kein verdächtiger Prozess.

Laut Google ist bei der involvierten Bank bei der Betrugsvariante "Hintergrundüberweisung" meistens der Banking-Trojaner "Zeus" gegeben.

Vielleicht könnt ihr mir helfen den verursachenden Banking-Trojaner zu identifizieren! Schon mal danke für Eure Hilfe und Tips!


P.S. Werde nach einer Datensicherung natürlich das System neu aufsetzen und insbesondere den MBR neu schreiben, aber ich würde gerne vorher die Dateisystemveränderungen des verursachenden Trojaners finden. ;-)


Malwarebytes Logfile:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4168

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

04.06.2010 13:56:15
mbam-log-2010-06-04 (13-56-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 249555
Laufzeit: 1 Stunde(n), 38 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iebho15.dll (Trojan.BHO.H) -> No action taken.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HD6NIT0\aol4[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8FP3AEV9\nodupdate[2].exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K123S5IZ\windows7[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\*%*\Lokale Einstellungen\Temp\ie3.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\*%*\Lokale Einstellungen\Temp\in1A.tmp (Malware.Trace) -> No action taken.

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:31:43, on 04.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe
C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Bernd\Desktop\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\iebho15.dll
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139942824312
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144521711750
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B003B8BB-6806-480F-BDCD-EEE9FC72000C}: NameServer = 10.17.1.254,10.17.1.200
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe
O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

--
End of file - 6429 bytes

OTL Logfiles:
Code:
ATTFilter
OTL logfile created on: 04.06.2010 12:02:25 - Run 2
OTL by OldTimer - Version 3.2.5.0     Folder = C:\Dokumente und Einstellungen\*%*\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 64,00 Mb Available Physical Memory | 13,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 44,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 141,60 Gb Total Space | 57,78 Gb Free Space | 40,81% Space Free | Partition Type: NTFS
Drive D: | 2,05 Gb Total Space | 1,51 Gb Free Space | 73,55% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
Drive I: | 14,89 Gb Total Space | 12,95 Gb Free Space | 86,95% Space Free | Partition Type: FAT32
 
Computer Name: *%*
Current User Name: *%*
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\*%*\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
PRC - C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe (Seagate Technology LLC)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe (FirebirdSQL Project)
PRC - C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe (FirebirdSQL Project)
PRC - C:\Programme\AVPersonal\AVGUARD.EXE (H+BEDV Datentechnik GmbH)
PRC - C:\Programme\AVPersonal\AVWUPSRV.EXE (H+BEDV Datentechnik GmbH, Germany)
PRC - C:\WINDOWS\system32\LckFldService.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\*%*\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (x10nets) --  File not found
SRV - (de_serv) --  File not found
SRV - (TomTomHOMEService) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (FreeAgentGoNext Service) -- C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe (Seagate Technology LLC)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.)
SRV - (FirebirdGuardianDefaultInstance) -- C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe (FirebirdSQL Project)
SRV - (FirebirdServerDefaultInstance) -- C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe (FirebirdSQL Project)
SRV - (AntiVirService) -- C:\Programme\AVPersonal\AVGUARD.EXE (H+BEDV Datentechnik GmbH)
SRV - (AVWUpSrv) -- C:\Programme\AVPersonal\AVWUPSRV.EXE (H+BEDV Datentechnik GmbH, Germany)
SRV - (LckFldService) -- C:\WINDOWS\system32\LckFldService.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntdd) -- C:\Programme\AVPersonal\AVGNTDD.SYS (H+BEDV Datentechnik GmbH)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.)
DRV - (61883) -- C:\WINDOWS\system32\drivers\61883.sys (Microsoft Corporation)
DRV - (Avc) -- C:\WINDOWS\system32\drivers\avc.sys (Microsoft Corporation)
DRV - (MSDV) -- C:\WINDOWS\system32\drivers\msdv.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (mf) -- C:\WINDOWS\system32\drivers\mf.sys (Microsoft Corporation)
DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH)
DRV - (ASCTRM) -- C:\WINDOWS\system32\drivers\asctrm.sys (Windows (R) 2000 DDK provider)
DRV - (MVDCODEC) -- C:\WINDOWS\system32\drivers\atinmdxx.sys (ATI Technologies Inc.)
DRV - (atinrvxx) -- C:\WINDOWS\system32\drivers\atinrvxx.sys (ATI Technologies Inc.)
DRV - (ATIXSAudio) -- C:\WINDOWS\system32\drivers\atinxsxx.sys (ATI Technologies Inc.)
DRV - (ativraxx) -- C:\WINDOWS\system32\drivers\atinraxx.sys (ATI Technologies Inc.)
DRV - (TTDec) -- C:\WINDOWS\system32\drivers\atinttxx.sys (ATI Technologies Inc.)
DRV - (ATITUNEP) -- C:\WINDOWS\system32\drivers\atintuxx.sys (ATI Technologies Inc.)
DRV - (AVMCOWAN) -- C:\WINDOWS\system32\drivers\avmcowan.sys (AVM GmbH)
DRV - (FDS2BASE) AVM FRITZ!Card DSL v2.0 (WinXP/2000) -- C:\WINDOWS\system32\drivers\fds2base.sys (AVM Berlin)
DRV - (AVMDSLPPPOE) -- C:\WINDOWS\system32\drivers\avmdsloe.sys (AVM GmbH)
DRV - (AVMNDSL) -- C:\WINDOWS\system32\drivers\avmndsl.sys (AVM GmbH)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (vobiw) -- C:\WINDOWS\system32\drivers\vobIW.sys (VOB Computersysteme GmbH)
DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (HSFHWBS2) -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys (Conexant Systems, Inc.)
DRV - (StreamDispatcher) -- C:\WINDOWS\system32\drivers\strmdisp.sys (Conexant Systems, Inc.)
DRV - (cdrdrv) -- C:\WINDOWS\system32\drivers\Cdrdrv.sys (VOB Computersysteme GmbH)
DRV - (SCR131C) -- C:\WINDOWS\system32\drivers\SCR131C.sys (SCM Microsystems Inc.)
DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation)
DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation)
DRV - (SCRx31 USB Smart Card Reader) -- C:\WINDOWS\system32\drivers\scrccid.sys (SCM Microsystems Inc.)
DRV - (sonypvs1) -- C:\WINDOWS\system32\drivers\sonypvs1.sys (Sony Corporation)
DRV - (NVENET) -- C:\WINDOWS\system32\drivers\NVENET.sys (NVIDIA Corporation)
DRV - (nv_agp) -- C:\WINDOWS\System32\DRIVERS\nv_agp.sys (NVIDIA Corporation)
DRV - (vobcom) -- C:\WINDOWS\system32\drivers\vobcom.sys (VOB Computersysteme GmbH)
DRV - (BrParWdm) Brother WDM-Treiber (parallel) -- C:\WINDOWS\system32\drivers\BrParwdm.sys (Brother Industries Ltd.)
DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation)
DRV - (MODEMCSA) -- C:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation)
DRV - (brparimg) -- C:\WINDOWS\system32\drivers\BrParImg.sys (Brother Industries Ltd.)
DRV - (brfilt) -- C:\WINDOWS\system32\drivers\BrFilt.sys (Brother Industries Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.29 19:55:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.29 19:16:26 | 000,000,000 | ---D | M]
 
[2010.01.26 21:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Mozilla\Extensions
[2010.01.26 21:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2010.04.30 15:15:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Mozilla\Firefox\Profiles\3f6543dc.new\extensions
[2010.04.29 19:55:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Mozilla\Firefox\Profiles\cj6ppqb7.Standard-Benutzer\extensions
[2010.04.30 15:06:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Mozilla\Firefox\Profiles\smdhjcv2.Bernd\extensions
[2010.04.30 15:15:22 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2006.09.27 17:41:16 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\iebho15.dll ()
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe ()
O4 - HKLM..\Run: [PPort11reminder] C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe (Nuance Communications, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra Button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL (ATI Technologies Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains:   ([]msn in My Computer)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} hxxp://install.global-netcom.de/ieloader.cab (IELoaderCtl Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139942824312 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144521711750 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_03)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37855.4839699074 (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_03)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab (EPSImageControl Class)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.23 20:32:08 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2002.01.24 15:22:02 | 000,000,051 | ---- | M] () - D:\AUTORUN.INF -- [ FAT32 ]
O33 - MountPoints2\{2bf9a606-cc02-11db-a3e6-000c6e716dce}\Shell\AutoRun\command - "" = M:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{86c46641-dbe7-11dc-a4e9-000c6e716dce}\Shell\AutoRun\command - "" = M:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{be86b59f-e79b-11dc-a4fc-000c6e716dce}\Shell\AutoRun\command - "" = J:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{fe30a941-e690-11d7-93b9-806d6172696f}\Shell\AutoRun\command - "" = D:\SETUP.EXE -- [2003.02.12 11:19:44 | 000,020,480 | ---- | M] (.)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.06.04 11:31:17 | 006,153,352 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\*%*\Desktop\mbam146-setup.exe
[2010.06.04 11:31:02 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*%*\Desktop\OTL.exe
[2010.06.04 11:30:20 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\*%*\Desktop\HijackThis.exe
[2010.06.04 11:29:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*%*\Desktop\RootkitRevealer
[2010.06.04 09:14:05 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*%*\Recent
[2010.05.13 12:56:51 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\*%*\PrivacIE
[2010.05.13 12:56:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\*%*\IETldCache
[2010.05.13 12:53:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.05.13 12:50:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.05.13 12:49:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.05.13 12:49:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-DE
[2010.05.13 12:46:06 | 001,985,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll
[2010.05.13 12:46:06 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeedsbs.dll
[2010.05.13 12:46:04 | 000,594,432 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeeds.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.06.04 11:32:19 | 006,291,456 | ---- | M] () -- C:\Dokumente und Einstellungen\*%*\ntuser.dat
[2010.06.04 11:13:52 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.04 11:13:11 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.04 11:13:07 | 536,403,968 | -HS- | M] () -- C:\hiberfil.sys
[2010.06.04 09:14:10 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\*%*\ntuser.ini
[2010.06.01 16:16:52 | 000,090,624 | ---- | M] () -- C:\WINDOWS\System32\userinit.exe
[2010.05.29 11:30:26 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*%*\Desktop\OTL.exe
[2010.05.29 07:53:40 | 006,153,352 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Bernd\Desktop\mbam146-setup.exe
[2010.05.28 20:06:22 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\*%*\Desktop\HijackThis.exe
[2010.05.19 14:03:23 | 000,281,600 | ---- | M] () -- C:\WINDOWS\System32\iebho15.dll
[2010.05.15 21:17:23 | 000,001,113 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.05.15 21:17:23 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.05.15 21:17:22 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.05.14 18:07:25 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.05.14 17:54:55 | 000,000,138 | ---- | M] () -- C:\WINDOWS\System32\mslck.dat
[2010.05.14 17:36:25 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.19 14:03:23 | 000,281,600 | ---- | C] () -- C:\WINDOWS\System32\iebho15.dll
[2010.05.13 11:49:31 | 004,966,345 | ---- | C] () -- C:\Dokumente und Einstellungen\*%*\Eigene Dateien\fxs_screensaver.scr
[2010.05.13 11:34:10 | 003,686,456 | ---- | C] () -- C:\Dokumente und Einstellungen\*%*\Eigene Dateien\fxs_wallaper.bmp
[2010.01.20 15:40:58 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.05.31 12:33:17 | 000,000,940 | ---- | C] () -- C:\WINDOWS\disney.ini
[2008.12.20 21:12:26 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008.12.20 21:12:26 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008.12.20 21:04:17 | 000,000,208 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2008.12.20 21:04:17 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2008.12.20 21:01:37 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2008.08.27 20:25:33 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008.01.20 13:44:23 | 000,006,067 | ---- | C] () -- C:\WINDOWS\UNWISE.INI
[2008.01.16 18:41:20 | 000,000,064 | ---- | C] () -- C:\WINDOWS\gag.ini
[2007.01.28 19:53:31 | 000,000,232 | ---- | C] () -- C:\WINDOWS\SPMSMON.INI
[2007.01.15 20:13:06 | 000,000,087 | ---- | C] () -- C:\WINDOWS\EPSONEM.INI
[2006.10.31 18:42:59 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\Mlkf.dll
[2006.07.24 16:07:09 | 000,000,210 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2003.12.22 15:40:06 | 001,663,068 | ---- | C] () -- C:\WINDOWS\System32\libmmd.dll
[2003.11.08 10:48:33 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2003.09.16 13:01:43 | 000,000,090 | ---- | C] () -- C:\WINDOWS\ICompose.INI
[2003.09.16 12:58:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\prestopm.INI
[2003.09.16 12:54:33 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI
[2003.09.16 12:39:51 | 000,000,234 | ---- | C] () -- C:\WINDOWS\Scanner.ini
[2003.09.14 20:03:03 | 000,002,638 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2003.09.14 18:57:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ATIMMC.INI
[2003.09.14 15:47:52 | 000,003,654 | ---- | C] () -- C:\WINDOWS\System32\drivers\Sonyhcp.dll
[2003.09.14 12:52:21 | 000,000,156 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2003.09.14 11:09:28 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2003.08.22 22:13:41 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2003.08.22 20:25:40 | 000,006,006 | ---- | C] () -- C:\WINDOWS\Unwise32.ini
[2003.08.22 19:47:22 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2003.08.22 19:20:03 | 000,049,152 | ---- | C] () -- C:\WINDOWS\CNYUSB.dll
[2003.08.22 19:20:03 | 000,011,776 | ---- | C] () -- C:\WINDOWS\HIDMNT.dll
[2003.08.22 19:20:03 | 000,005,120 | ---- | C] () -- C:\WINDOWS\HKCYDLL.dll
[2003.08.22 19:20:03 | 000,000,360 | ---- | C] () -- C:\WINDOWS\CNYHKey.ini
[2003.08.22 19:17:26 | 000,000,677 | ---- | C] () -- C:\WINDOWS\HBCIKRNL.INI
[2003.08.22 18:38:00 | 000,018,253 | ---- | C] () -- C:\WINDOWS\System32\ssnvfx.ini
[2003.08.22 18:28:43 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2003.08.22 18:20:58 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2003.08.22 18:03:59 | 000,000,914 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2003.07.19 22:19:10 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[2003.03.28 14:31:52 | 000,066,560 | ---- | C] () -- C:\WINDOWS\System32\atiyuv12.dll
[2003.03.28 14:31:52 | 000,013,601 | ---- | C] () -- C:\WINDOWS\System32\vctest.ini
[2003.03.28 14:31:46 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
[2002.02.27 17:28:16 | 000,138,752 | ---- | C] () -- C:\WINDOWS\System32\MASE32.DLL
[2002.02.27 17:28:16 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\MASD32.DLL
[2002.02.27 17:28:14 | 000,196,096 | ---- | C] () -- C:\WINDOWS\System32\MACD32.DLL
[2002.02.27 17:28:14 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\MAMC32.DLL
[2002.02.27 17:28:14 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\MA32.DLL
[2000.09.08 17:53:50 | 000,073,839 | ---- | C] () -- C:\WINDOWS\System32\KodakOneTouch.dll
[1997.09.17 13:10:56 | 001,029,120 | ---- | C] () -- C:\WINDOWS\System32\H5KRNL32.DLL
[1997.09.01 12:42:34 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\H5DLG32.DLL
[1997.08.27 15:19:28 | 000,188,928 | ---- | C] () -- C:\WINDOWS\System32\H5ICON32.DLL
[1997.08.27 15:11:52 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\H5MENU32.DLL
[1997.08.25 13:42:44 | 000,050,688 | ---- | C] () -- C:\WINDOWS\System32\H5TOOL32.DLL
[1997.08.25 13:42:02 | 000,083,456 | ---- | C] () -- C:\WINDOWS\System32\H5RTF32.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 498 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF
@Alternate Data Stream - 48 bytes -> C:\WINDOWS:03BA243583FB9B15
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B9A77133
< End of report >

Code:
ATTFilter
OTL Extras logfile created on: 04.06.2010 12:02:25 - Run 2
OTL by OldTimer - Version 3.2.5.0     Folder = C:\Dokumente und Einstellungen\*%*\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 64,00 Mb Available Physical Memory | 13,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 44,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 141,60 Gb Total Space | 57,78 Gb Free Space | 40,81% Space Free | Partition Type: NTFS
Drive D: | 2,05 Gb Total Space | 1,51 Gb Free Space | 73,55% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
Drive I: | 14,89 Gb Total Space | 12,95 Gb Free Space | 86,95% Space Free | Partition Type: FAT32
 
Computer Name: *%*
Current User Name: *%*
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Mein CeWe Fotobuch.exe] -- "C:\Programme\CeWe Color\Mein CeWe Fotobuch\Mein CeWe Fotobuch.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Firefox_Setup_3.6.3.exe" = C:\Programme\Firefox_Setup_3.6.3.exe:*:Enabled:Firefox_Setup_3.6.3.exe -- (Mozilla)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00030407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Small Business
"{02DFF6B1-1654-411C-8D7B-FD6052EF016F}" = Apple Software Update
"{03440014-3975-4267-9F39-1DC4745090B7}" = Microsoft Encarta Enzyklopädie 2003
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0FE6C844-4243-4F5B-BC5B-E8B4C3450946}" = USB CASIO Digital Camera Device Driver
"{11DB853A-6966-4724-BEAD-793C48AC8C54}" = Kodak EasyShare software
"{16E217EA-C3E0-402D-8D4F-6189DB74497A}" = Studio 9.4 Patch
"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime
"{24BAAB11-8F40-4915-8761-6A71ACCFE32D}" = Findet Nemo AUW
"{2A30052B-831C-41D3-8044-3C0388066350}" = Seagate Manager Installer
"{2F315767-6230-4980-BE36-C2E91D42BBB8}" = die ReadKVK Applikation
"{332CC6BF-E6C7-48EE-BA3D-435E576AD67F}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{369B36BE-3D64-4641-9AEA-808D436FE132}" = Microsoft Picture It! Foto 7.0
"{3BDB8AA5-EDDD-441A-877A-FC6D8664869F}" = 5000 Series
"{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}" = Google Earth
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HYDRAVISION
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{44734179-8A79-4DEE-BB08-73037F065543}" = Apple Mobile Device Support
"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{4C643986-DE3C-4737-8472-CCEC36CCC267}" = Studio Content CD
"{4CE364C9-5EF4-4CD5-9E81-B971FA95C626}" = 
"{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}" = iTunes
"{5B23E5AD-23E2-45C8-A24C-97D3A23FB6EE}" = Carcassonne
"{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}" = Sony USB Driver
"{5F87EF36-A373-11D5-AA2E-0008C760B784}" = Monster Training Einmaleins
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{752CA503-E29F-4610-A1A4-B21CDC58EF8D}" = SAS10
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77B6DD3A-C7D0-479B-9CB1-BD8D42AAB1A2}" = SCRx31 CT-API and  PC/SC  Driver Installer
"{7CDBE27D-87EC-434E-AFE4-D0116AE876BB}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{8F318667-ADF1-4972-936E-26AA05B3B3AC}" = 
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90AF0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office PowerPoint Viewer 2003
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9313E9A6-03DF-11D5-88F8-005004361016}" = Pinnacle TRex
"{9A9DBEBC-C800-4776-A970-D76D6AA405B1}" = PHOTOfunSTUDIO -viewer-
"{9E491AB7-4589-48CA-9CBB-874CB2788391}" = Studio 9
"{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}" = Brother MFL-Pro Suite
"{A8A7ACEF-A7AF-4129-9BC1-4F33A4C31EEC}" = Pinnacle InstantCD/DVD Suite
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{B4AAD469-7E52-4273-A8F0-E734BA23496B}" = ATIRW2
"{B67624DE-75CE-4FAD-9F29-5C115773CE61}" = Studio Content DVD
"{B6C89654-A6A2-477C-873B-724EC1C56407}" = ScanSoft PaperPort 11
"{B6DC0CAF-0D27-4ACE-8E34-8594C8D7C116}" = MMC86
"{B9E7F9D5-E282-4248-BE8D-A6E8433F9B91}" = Win-CASA 7
"{C4BEEB8C-B9D2-4CD9-A2AA-1F3A1F57DF21}" = Works Suite-Betriebssystem-Pack
"{C5FC10F2-F93D-4083-8303-EA6327FF94D3}" = Lars der kleine Eisbär
"{C880E328-DA82-47F2-B429-3E42C73C7549}" = muvee autoProducer 6.1 Seagate Edition
"{C88E49AA-41C5-4420-A08D-BE1B6C5A3A74}" = DAO
"{D1D8BBFF-27E8-4CEE-BD0D-E1B0269C40BC}" = 
"{D3661269-10B6-495F-B4EE-539ABE3F9AA9}" = DVDDec
"{DA4BE7BA-E80B-11D6-A812-0050BA17BA4B}" = SPGT5602 Mass Storage Controller
"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.14
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 
"{F92CDFEB-DB96-4589-B88C-BE181D153445}" = Moorhuhn WE AYCS
"{FF262740-C85A-11D5-BBEC-00D0B740900A}" = USB Wireless Keyboard Driver
"{FF895069-BD9A-11D5-986D-00500443CF9F}" = Moorhuhn 3 DL
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"AntiVir/XP" = AntiVir/XP
"AquaSoft Barbecue 3.1" = AquaSoft Barbecue 3.1
"ATI Display Driver" = ATI Display Driver
"AVMFBox" = FRITZ!Box
"Carbonite Setup Lite" = Carbonite Online Backup Setup
"CNXT_MODEM_PCI_VEN_14F1&DEV_2F00" = FM-56PCI-HSFi-AB
"Destinator Console" = Destinator Console
"DivX Codec" = DivX Codec
"FBDBServer_2_0_is1" = Firebird 2.0.1
"Folder Access 2.0.0 Free Version" = Folder Access 2.0.0 Free Version
"Hardcopy(C__Programme_Hardcopy)" = Hardcopy (C:\Programme\Hardcopy)
"Hollywood FX 4.6" = Pinnacle Hollywood FX 4.6
"Hollywood FX 5" = Pinnacle Hollywood FX 5
"ie8" = Windows Internet Explorer 8
"InstallShield_{24BAAB11-8F40-4915-8761-6A71ACCFE32D}" = Findet Nemo AUW
"InstallShield_{2A30052B-831C-41D3-8044-3C0388066350}" = Seagate Manager Installer
"InstallShield_{3BDB8AA5-EDDD-441A-877A-FC6D8664869F}" = 5000 Series
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"InstallShield_{752CA503-E29F-4610-A1A4-B21CDC58EF8D}" = AuthorScript Engine 1.0
"InstallShield_{B4AAD469-7E52-4273-A8F0-E734BA23496B}" = ATI Remote Wonder 2.0
"InstallShield_{B6DC0CAF-0D27-4ACE-8E34-8594C8D7C116}" = ATI Multimedia Center 8.6.0.0
"InstallShield_{C88E49AA-41C5-4420-A08D-BE1B6C5A3A74}" = DAO
"InstallShield_{D3661269-10B6-495F-B4EE-539ABE3F9AA9}" = ATI DVD Decoder 2.3.0.0
"LiveReg" = LiveReg (Symantec Corporation)
"LiveUpdate" = LiveUpdate 1.80 (Symantec Corporation)
"Mein CeWe Fotobuch" = Mein CeWe Fotobuch
"Moorhuhn 2 V1.1" = Moorhuhn 2 V1.1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Nemo's Aquarium 3D_is1" = Nemo's Aquarium 3D
"NVIDIAnForce" = NVIDIA nForce Treiber für Windows 2000/XP
"Picasa 3" = Picasa 3
"Pinnacle Hollywood FX Pack0 - Extra FX" = Pinnacle Hollywood FX Pack0 - Extra FX
"Pinnacle Systems PCI Performance Enhancer" = Pinnacle Systems PCI Performance Enhancer
"RealPlayer 6.0" = RealPlayer Basic
"Shockwave" = Shockwave
"SSUtils" = NVIDIA nForce Utilities
"ST6UNST #1" = Chipcard master 5.0
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"Super RTL - Clubs" = Super RTL - Clubs
"TomTom HOME" = TomTom HOME 2.7.3.1894
"T-Online Copas" = T-Online Copas
"Vampirjagd" = Vampirjagd
"ViewpointMediaPlayer" = Viewpoint Media Player
"WGA" = Windows Genuine Advantage Validation Tool
"Win-CASA 7" = Win-CASA 7
"Windows Media Encoder 9" = Windows Media Encoder 9 Series
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 2
"WinRAR archiver" = WinRAR Archivierer
"WinZip" = WinZip
"Works2003Setup" = Microsoft Works 2003-Setup-Start
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 22.03.2009 08:00:35 | Computer Name = *%*| Source = Microsoft Office 10 | ID = 2000
Description = Accepted Safe Mode action : Microsoft Word.
 
Error - 23.06.2009 10:12:47 | Computer Name = *%*| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung studio.exe, Version 9.4.2.37, fehlgeschlagenes
 Modul diskio.dll, Version 6.0.0.299, Fehleradresse 0x0000be02.
 
Error - 30.11.2009 09:10:12 | Computer Name = *%*| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung moorhuhnwinter.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul moorhuhnwinter.exe, Version 0.0.0.0, Fehleradresse 0x000053c9.
 
Error - 30.11.2009 09:10:21 | Computer Name = *%*| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung moorhuhnwinter.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul moorhuhnwinter.exe, Version 0.0.0.0, Fehleradresse 0x000053c9.
 
Error - 03.12.2009 09:33:21 | Computer Name = *%*| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung moorhuhnwinter.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul moorhuhnwinter.exe, Version 0.0.0.0, Fehleradresse 0x000053c9.
 
Error - 03.12.2009 09:33:21 | Computer Name = *%*| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung moorhuhnwinter.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul moorhuhnwinter.exe, Version 0.0.0.0, Fehleradresse 0x000053c9.
 
Error - 26.01.2010 15:26:37 | Computer Name = *%*| Source = TomTomHOMEService | ID = 10000
Description = 
 
Error - 26.01.2010 16:46:03 | Computer Name = *%*| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tomtomhomeruntime.exe, Version 1.9.1.3443,
 fehlgeschlagenes Modul msvcr80.dll, Version 8.0.50727.762, Fehleradresse 0x000046b4.
 
Error - 21.05.2010 06:39:24 | Computer Name = *%*| Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 21.05.2010 06:39:24 | Computer Name = *%*| Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 19.05.2010 07:58:43 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 21.05.2010 06:10:45 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 01.06.2010 09:10:39 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 01.06.2010 10:11:04 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 01.06.2010 10:20:05 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 01.06.2010 10:26:48 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 01.06.2010 10:37:23 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 04.06.2010 01:56:31 | Computer Name = *%*| Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
 "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem 
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
 eine Verbindung herzustellen.
 
Error - 04.06.2010 01:56:40 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
Error - 04.06.2010 05:14:45 | Computer Name = *%*| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Pacific Image Electronics USB Scanner" wurde aufgrund 
folgenden Fehlers nicht gestartet:   %%1058
 
 
< End of report >

Edit:
Die verdächtige "userinit.exe" habe ich bei h**p://www.threatexpert.com zur Analyse hochgeladen. Hier das Ergebnis:
h**p://www.threatexpert.com/report.aspx?md5=e0bf56ed110948228a9bba307ef4d539
Geändert von evildead79 (05.06.2010 um 08:15 Uhr)

Alt 05.06.2010, 23:13   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Hallo und

Hast Du die verdächtige userinit.exe auch schonmal bei Virustotal auswerten lassen? Wenn nicht, mach das mal. Starte eine Auswertung, falls die Datei schonmal ausgewerte wurde.
__________________

__________________
Alt 06.06.2010, 09:04   #3
evildead79
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Die Datei "userinit.exe", die vom Trojaner modifiziert wurde, habe ich auch schon bei Virus Total hochgeladen. Leider waren hier die Infos nicht besonders hilfreich. 41 unterschiedlich Namen und Risiko-Einstufungen.

Ich habe aber ein interessantes YouTube-Video von Symantec gefunden:
h**p://www.youtube.com/watch?v=CzdBCDPETxk

Hier ist zu sehen, dass "Zeus" als Prozess quasi unsichtbar ist, jedoch in Webseiten Schadcode einbringen kann (iFrame). Ich werde morgen noch mal mit dem infizierten PC das Banking-Portal anwählen und mir dann den Seitenquelltext ansehen.

Ich werde morgen mit EnCase auch mal die Festplatte nach Keywords durchsuchen...also mit den Daten der geplanten Überweisung und mit den Daten der tatsächlichen Überweisung. So müsste ich eigentlich Dateien vom Trojaner finden...mal sehn was die Verschlüsselung des Trojaners für Probleme macht. ;-)

Auf der Webseite von Symantec fand ich noch weitere interessante Informationen...technische Details zu Zeus:

h**p://www.symantec.com/security_response/writeup.jsp?docid=2007-040208-5335-99

Melde mich dann wieder! ;-)
__________________
Alt 06.06.2010, 13:39   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Poste bitte den Link von der Virustotal Auswertung.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.06.2010, 12:51   #5
evildead79
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Hier der Link zur Virustotal-Auswertung (zu der Datei "userinit.exe):
h**p://www.virustotal.com/de/analisis/4773257cdcd7b181a5cf38a3023d85e18a3a1a3373ebd619adaa3c759afff23a-1275911183


Alt 07.06.2010, 16:23   #6
evildead79
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


So, habe den verursachenden Banking-Trojaner gefunden...es ist doch nicht Zeus...sondern "win32agent" (bzub, Katusha, metafisher, goldun). Das Ding hat sich als Browser Helper Object in den Microsoft Internet Explorer eingeklinkt.

Die Datei "iebho.dll" (war im System32-Ordner) habe ich bei VirusTotal hochgeladen (2/41, Erkennungsrate 4,88%):

h**p://www.virustotal.com/de/analisis/d4b94ec9f6ddf768e9a9d3568c2bcc7fe0395281dbbd050cbcdf0eaf6de4f5e7-1275916793

In den zugehörigen Schlüsseln in der Registry habe ich auch die URLs für die primäre und sekundäre Dropzone gefunden.

Jetzt bin ich zufrieden und kann endlich das System neu aufsetzen.

Alt 07.06.2010, 18:54   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Zitat:
Infizierte Dateien:
C:\WINDOWS\system32\iebho15.dll (Trojan.BHO.H) -> No action taken.
Malwarebytes hat den aber gefunden oder meintest du iebho und nicht iebho15?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.06.2010, 14:58   #8
evildead79
 
Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Standard

Identifikation von Banking-Trojaner (nach Echtzeitangriff)


Malwarebytes und HijackThis haben den Trojaner erkannt, aber ich war auf die Betrugsvariante "Hintergrundüberweisung" sowie wegen der modifizierten "userinit.exe" (Virenschleuder) gedanklich auf n Zeus fixiert...

iebho.dll
CLSID {d032570a-5f63-4812-a094-87d007c23012}

Viele Grüße
evildead79

Antwort

Themen zu Identifikation von Banking-Trojaner (nach Echtzeitangriff)
0x00000001, alternate, antivir, banking-trojaner, bonjour, browser, browseui preloader, components, d:\autorun.inf, desktop, dsl, error, festplatte, firefox, firefox 3.6.3, flash player, google, helper, hintergrundüberweisung, hkus\s-1-5-18, home, homepage, internet, intranet, location, logfile, malwarebytes' anti-malware, mozilla, msvcr80.dll, neu aufsetzen, nicht möglich, oldtimer, otl.exe, picasa, plug-in, registry, rundll, searchplugins, security, shell32.dll, sicherheitshalber, software, studio, super, system, system neu, system neu aufsetzen, usb, visual studio, windows, windows internet, windows internet explorer, windows xp


« CPU Usage konstant bei 30% und mehr | TR/Spy.Gen taucht immer wieder auf ! »


Ähnliche Themen: Identifikation von Banking-Trojaner (nach Echtzeitangriff)


  1. Secure Banking - Online Banking auf der sicheren Seite!
    Archiv - 29.08.2016 (471)
  2. Nach vermeintlicher DHL-Mail Probleme beim Online-Banking und massenhaft Mails
    Plagegeister aller Art und deren Bekämpfung - 12.06.2015 (28)
  3. Banking Trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.06.2015 (19)
  4. Windows 7: Schadsoftware bei Online-Banking, nach Entfernung läuft MSE nur sporadisch
    Log-Analyse und Auswertung - 14.11.2013 (16)
  5. Merkwürdige TAN-Abfrage nach Login bei Online-Banking
    Plagegeister aller Art und deren Bekämpfung - 19.05.2013 (27)
  6. Banking Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (9)
  7. Müll aus Secure Banking - Online Banking auf der sicheren Seite!
    Mülltonne - 04.10.2012 (0)
  8. Konten bei Banking per Starmoney nach rootkit / ZeroAccess-Befall sperren?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (10)
  9. Kreditkartenabfrage nach Online-Banking-Login - Trojan.BTSoft.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (3)
  10. Banking Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.05.2012 (21)
  11. Mobile Identifikation mit dem neuen Personalausweis
    Nachrichten - 10.02.2012 (0)
  12. Online Banking - TAN Abfrage beim Banking - Trojaner?
    Log-Analyse und Auswertung - 12.08.2011 (3)
  13. Trojaner fragt nach TAN´s beim Online-Banking
    Log-Analyse und Auswertung - 03.01.2011 (34)
  14. Online-Banking (Sparkasse) verlangt nach Login Eingabe von mehreren TAN
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (1)
  15. Trojaner beim Banking nach Windows7 Installation
    Plagegeister aller Art und deren Bekämpfung - 13.08.2010 (15)
  16. Nach Identifikation von Trojaner - Windows XP fährt hoch und direkt runter
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Identifikation von Banking-Trojaner (nach Echtzeitangriff) - Hallo! Eine Freundin wurde Opfer eines Banking-Trojaners. Sie will eine Inlandsüberweisung ausgefüllt haben und soll dann ordnungsgemäß nach einer iTAN gefragt worden sein. Die eingegebene iTAN wurde jedoch als ungültig - Identifikation von Banking-Trojaner (nach Echtzeitangriff)...
Archiv
Du betrachtest: Identifikation von Banking-Trojaner (nach Echtzeitangriff) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129