Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2011, 01:34   #1
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Hallo zusammen.

Windows Defender und AntiVir hatten bei mir einen Cycbot.B Trojaner gemeldet. Die gemeldeten Dateien habe ich löschen lassen, den gesamten TEMP-Ordner, in dem sie sich befanden, ebenso und mit dem ERASER alles vernichtet. Im Temp-Ordner war eine Datei namens csrss.exe, die sich zunächst nicht löschen ließ ("wird von einem anderen Programm verwendet"), welche nach einem Neustart aber doch gelöscht und ERASEd werden konnte.

Bei meinen Webbrowsern (Firefox und IE) waren auf einmal Proxy-Server-Einstellungen mit einer .gov.uk Adresse aktiv (ich hatte vorher keine Proxies), womit allerdings keine Internetverbindung mehr zustande kam (deshalb hab ichs gemerkt und den Proxy entfernt). Danach habe ich den Defender und AntiVir eine Komplett-Prüfung machen lassen sowie den Online-Virus-Check bei security.symantec.com. Es wurde nichts mehr gemeldet.

Schließlich habe ich noch Malwarebytes' Anti-Malware laufen lassen. Da wurden vier Dateien gemeldet. Die habe ich löschen lassen. Siehe Report unten.

Muss ich trotzdem das System neu formatieren weil der Trojaner sich schon verbreitet hat und die Virus-Programme das nur nicht erkennen?

Außerdem: es heißt der Trojaner stiehlt Passwörter. Wie geht das? Ich habe bei den Web-Browsern keine Passwörter gespeichert und meine Emails rufe ich mit einem Thunderbird-Programm über einen USB-Stick ab, der aber nicht im Gerät steckte. Oder werden die Passwörter gestohlen sobald ich bspw. beim Online-Banking eins in den Browser eingebe? Ich bin in der Materie leider nicht sehr bewandert.

Herzlichen Dank.
SteGri

Windows Vista Home Premium Service Pack 2
AppData\Local\Temp\1A6C.exe
AppData\Local\Temp\BB72.exe
'TR/Crypt.XPACK.Gen'


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5755

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.7930.16406

14.02.2011 01:50:52
mbam-log-2011-02-14 (01-50-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158617
Laufzeit: 4 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> 3396 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Geändert von SteGri (14.02.2011 um 01:56 Uhr)

Alt 14.02.2011, 16:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Bitte die Logs von AntiVir nachreichen.
__________________

__________________

Alt 15.02.2011, 11:50   #3
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



OK, danke. Hier ist mal einer:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 13. Februar 2011 01:51

Es wird nach 2393674 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 08.12.2010 14:25:30
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 14:25:31
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:27:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:05:02
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 08:25:21
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 08:25:22
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 08:25:22
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 08:25:22
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 08:25:22
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 08:25:22
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 08:25:22
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 08:25:22
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 08:25:22
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 08:25:22
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 08:25:23
VBASE013.VDF : 7.11.3.11 2048 Bytes 09.02.2011 08:25:23
VBASE014.VDF : 7.11.3.12 2048 Bytes 09.02.2011 08:25:23
VBASE015.VDF : 7.11.3.13 2048 Bytes 09.02.2011 08:25:23
VBASE016.VDF : 7.11.3.14 2048 Bytes 09.02.2011 08:25:23
VBASE017.VDF : 7.11.3.15 2048 Bytes 09.02.2011 08:25:23
VBASE018.VDF : 7.11.3.16 2048 Bytes 09.02.2011 08:25:23
VBASE019.VDF : 7.11.3.17 2048 Bytes 09.02.2011 08:25:23
VBASE020.VDF : 7.11.3.18 2048 Bytes 09.02.2011 08:25:23
VBASE021.VDF : 7.11.3.19 2048 Bytes 09.02.2011 08:25:24
VBASE022.VDF : 7.11.3.20 2048 Bytes 09.02.2011 08:25:24
VBASE023.VDF : 7.11.3.21 2048 Bytes 09.02.2011 08:25:24
VBASE024.VDF : 7.11.3.22 2048 Bytes 09.02.2011 08:25:24
VBASE025.VDF : 7.11.3.23 2048 Bytes 09.02.2011 08:25:24
VBASE026.VDF : 7.11.3.24 2048 Bytes 09.02.2011 08:25:24
VBASE027.VDF : 7.11.3.25 2048 Bytes 09.02.2011 08:25:24
VBASE028.VDF : 7.11.3.26 2048 Bytes 09.02.2011 08:25:24
VBASE029.VDF : 7.11.3.27 2048 Bytes 09.02.2011 08:25:24
VBASE030.VDF : 7.11.3.28 2048 Bytes 09.02.2011 08:25:24
VBASE031.VDF : 7.11.3.40 59904 Bytes 10.02.2011 08:25:25
Engineversion : 8.2.4.166
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.12.2010 09:26:59
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 01.02.2011 10:25:34
AESCN.DLL : 8.1.7.2 127349 Bytes 01.12.2010 09:26:59
AESBX.DLL : 8.1.3.2 254324 Bytes 01.12.2010 09:26:59
AERDL.DLL : 8.1.9.2 635252 Bytes 01.12.2010 09:26:59
AEPACK.DLL : 8.2.4.9 512374 Bytes 01.02.2011 10:25:33
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 01.02.2011 10:25:32
AEHEUR.DLL : 8.1.2.76 3273078 Bytes 11.02.2011 08:25:41
AEHELP.DLL : 8.1.16.1 246134 Bytes 05.02.2011 09:14:03
AEGEN.DLL : 8.1.5.2 397683 Bytes 21.01.2011 11:25:00
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.12.2010 09:26:59
AECORE.DLL : 8.1.19.2 196983 Bytes 21.01.2011 11:24:57
AEBB.DLL : 8.1.1.0 53618 Bytes 01.12.2010 09:26:59
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 01.12.2010 09:26:59
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 08.12.2010 14:25:30
AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 14:25:25
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 01.12.2010 09:26:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e36f61f\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 13. Februar 2011 01:51

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickTimePlayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IELowutil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Home\AppData\Local\Temp\1A6C.exe'
C:\Users\Home\AppData\Local\Temp\1A6C.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e438ad4.qua' verschoben!


Ende des Suchlaufs: Sonntag, 13. Februar 2011 01:54
Benötigte Zeit: 02:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
24 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
23 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
__________________

Alt 15.02.2011, 12:06   #4
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



In meinem Task-Manager ist bei den Prozessen winlogon.exe aufgeführt, ohne dass er in der Spalte "Beschreibung" näher erklärt wird. Getarnte Malware? Genauso verhält es sich allerdings auch mit csrss.exe und Ati2evxx.exe. Alle drei brauchen so um die 2500 K Arbeitsspeicher. Alle anderen Prozesse sind beschrieben.

Und bei einem AntiVir-Durchlauf ohne Fund stand das hier im Report, woraufhin ich die Datei syscheckrt.exe ERASEd habe:

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtsvc.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'syscheckrt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '61' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '749' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
Beginne mit der Suche in 'E:\' <RECOVERY>


Ende des Suchlaufs: Sonntag, 13. Februar 2011 22:55
Benötigte Zeit: 2:03:23 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

38380 Verzeichnisse wurden überprüft
540202 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
540202 Dateien ohne Befall
3717 Archive wurden durchsucht
0 Warnungen
0 Hinweise
748453 Objekte wurden beim Rootkitscan durchsucht
120 Versteckte Objekte wurden gefunden

Alt 15.02.2011, 12:07   #5
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Tagsdrauf hatte ich von AntiVir diese Warnungen:

Beginne mit der Suche in 'C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\3E63EF8Ed01'
C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\3E63EF8Ed01
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e722e4d.qua' verschoben!


Beginne mit der Suche in 'C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\594FB86Bd01'
C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\594FB86Bd01
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/VolksBkFraud
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e75db99.qua' verschoben!


Alt 15.02.2011, 12:20   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
--> Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?

Alt 15.02.2011, 14:21   #7
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



conime.exe?


OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 15.02.2011 13:59:30 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Software
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.7930.16406)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 43,00% Memory free
8,00 Gb Paging File | 6,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 283,40 Gb Total Space | 127,71 Gb Free Space | 45,06% Space Free | Partition Type: NTFS
Drive E: | 14,65 Gb Total Space | 6,65 Gb Free Space | 45,38% Space Free | Partition Type: NTFS
 
Computer Name: HOME-PC | User Name: Home | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Software\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\program files (x86)\avira\antivir desktop\avcenter.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Windows\SysWOW64\conime.exe (Microsoft Corporation)
PRC - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation)
PRC - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Software\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\SysWOW64\normaliz.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (yksvc) -- C:\Windows\SysNative\ykx64mpcoinst.dll (Marvell)
SRV:64bit: - (STacSV) -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_15f4e438\STacSV64.exe (IDT, Inc.)
SRV:64bit: - (AESTFilters) -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_15f4e438\AESTSr64.exe (Andrea Electronics Corporation)
SRV:64bit: - (Ati External Event Utility) -- C:\Windows\SysNative\Ati2evxx.exe (ATI Technologies Inc.)
SRV:64bit: - (wltrysvc) -- C:\Windows\SysNative\WLTRYSVC.EXE ()
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()
SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (ServiceLayer) -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (IAANTMON) Intel(R) -- C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\DRIVERS\avgntflt.sys (Avira GmbH)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\DRIVERS\avipbb.sys (Avira GmbH)
DRV:64bit: - (vpnva) -- C:\Windows\SysNative\DRIVERS\vpnva64.sys (Cisco Systems, Inc.)
DRV:64bit: - (Lbd) -- C:\Windows\SysNative\DRIVERS\Lbd.sys (Lavasoft AB)
DRV:64bit: - (mfehidk) -- C:\Windows\SysNative\drivers\mfehidk.sys (McAfee, Inc.)
DRV:64bit: - (mfeavfk) -- C:\Windows\SysNative\drivers\mfeavfk.sys (McAfee, Inc.)
DRV:64bit: - (mfesmfk) -- C:\Windows\SysNative\drivers\mfesmfk.sys (McAfee, Inc.)
DRV:64bit: - (mfebopk) -- C:\Windows\SysNative\drivers\mfebopk.sys (McAfee, Inc.)
DRV:64bit: - (mferkdk) -- C:\Windows\SysNative\drivers\mferkdk.sys (McAfee, Inc.)
DRV:64bit: - (yukonx64) -- C:\Windows\SysNative\DRIVERS\yk60x64.sys (Marvell)
DRV:64bit: - (STHDA) -- C:\Windows\SysNative\DRIVERS\stwrt64.sys (IDT, Inc.)
DRV:64bit: - (SynTP) -- C:\Windows\SysNative\DRIVERS\SynTP.sys (Synaptics Incorporated)
DRV:64bit: - (R300) -- C:\Windows\SysNative\DRIVERS\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\DRIVERS\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (PxHlpa64) -- C:\Windows\SysNative\Drivers\PxHlpa64.sys (Sonic Solutions)
DRV:64bit: - (usbser) -- C:\Windows\SysNative\drivers\usbser.sys (Microsoft Corporation)
DRV:64bit: - (RTSTOR) -- C:\Windows\SysNative\drivers\RTSTOR64.SYS (Realtek Semiconductor Corp.)
DRV:64bit: - (OA013Vid) -- C:\Windows\SysNative\DRIVERS\OA013Vid.sys (Creative Technology Ltd.)
DRV:64bit: - (OA013Ufd) -- C:\Windows\SysNative\DRIVERS\OA013Ufd.sys (Creative Technology Ltd.)
DRV:64bit: - (CtClsFlt) -- C:\Windows\SysNative\DRIVERS\CtClsFlt.sys (Creative Technology Ltd.)
DRV:64bit: - (BCM42RLY) -- C:\Windows\SysNative\drivers\BCM42RLY.sys (Broadcom Corporation)
DRV:64bit: - (BCM43XX) -- C:\Windows\SysNative\DRIVERS\bcmwl664.sys (Broadcom Corporation)
DRV:64bit: - (pccsmcfd) -- C:\Windows\SysNative\DRIVERS\pccsmcfdx64.sys (Nokia)
DRV:64bit: - (iaStor) -- C:\Windows\SysNative\drivers\iastor.sys (Intel Corporation)
DRV:64bit: - (WpdUsb) -- C:\Windows\SysNative\DRIVERS\wpdusb.sys (Microsoft Corporation)
DRV:64bit: - (e1express) Intel(R) -- C:\Windows\SysNative\DRIVERS\e1e6032e.sys (Intel Corporation)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\Wbem\ntfs.mof ()
DRV - (StarOpen) -- C:\Windows\SysWow64\drivers\StarOpen.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/USCON/8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55131
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {71328583-3CA7-4809-B4BA-570A85818FBB}:0.6.3
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6.5
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.2
FF - prefs.js..extensions.enabledItems: {1018e4d6-728f-4b20-ad56-37578a4de76b}:4.0.13
FF - prefs.js..extensions.enabledItems: {EF522540-89F5-46b9-B6FE-1829E2B572C6}:4.9.4
FF - prefs.js..extensions.enabledItems: {2e17e2b2-b8d4-4a67-8d7b-fafa6cc9d1d0}:1.2.5.1
FF - prefs.js..extensions.enabledItems: {c07d1a49-9894-49ff-a594-38960ede8fb9}:3.1.3
FF - prefs.js..extensions.enabledItems: {c151d79e-e61b-4a90-a887-5a46d38fba99}:2.6.1
FF - prefs.js..network.proxy.ftp_port: 80
FF - prefs.js..network.proxy.gopher_port: 80
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.socks_port: 80
FF - prefs.js..network.proxy.ssl_port: 80
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2011.02.06 00:52:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.02.06 00:52:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: H:\System\Apps\FEFECB84-0E05-42d8-B044-F2D0FCFF8C15\Exec\thunderbird\components
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: H:\System\Apps\FEFECB84-0E05-42d8-B044-F2D0FCFF8C15\Exec\thunderbird\plugins
 
[2009.09.07 21:24:30 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\mozilla\Extensions
[2011.02.14 18:40:13 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions
[2010.12.14 00:56:10 | 000,000,000 | ---D | M] ("ColorfulTabs") -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
[2011.01.27 09:38:12 | 000,000,000 | ---D | M] (Flagfox) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
[2009.12.23 01:49:25 | 000,000,000 | ---D | M] (Unhide Passwords) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{2e17e2b2-b8d4-4a67-8d7b-fafa6cc9d1d0}
[2010.09.18 22:35:03 | 000,000,000 | ---D | M] (FoxyTunes) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}
[2010.01.23 10:31:46 | 000,000,000 | ---D | M] (CacheViewer) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{71328583-3CA7-4809-B4BA-570A85818FBB}
[2011.01.27 09:38:13 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.08.22 08:37:46 | 000,000,000 | ---D | M] (Update Scanner) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{c07d1a49-9894-49ff-a594-38960ede8fb9}
[2010.11.02 21:53:06 | 000,000,000 | ---D | M] (Pearl Crescent Page Saver Basic) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{c151d79e-e61b-4a90-a887-5a46d38fba99}
[2010.07.26 07:35:25 | 000,000,000 | ---D | M] ("Show my Password") -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{cd617372-6743-4ee4-bac4-fbf60f35719e}
[2011.01.27 09:38:14 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.10.10 09:30:18 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010.11.12 20:36:50 | 000,000,000 | ---D | M] (SearchPreview) -- C:\Users\Home\AppData\Roaming\mozilla\Firefox\Profiles\dnay6u2f.default\extensions\{EF522540-89F5-46b9-B6FE-1829E2B572C6}
[2010.08.30 15:31:09 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2010.08.31 08:40:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2009.09.07 21:38:13 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2009.09.18 23:10:37 | 000,032,768 | ---- | M] (Internet Pictures Corp.) -- C:\Program Files (x86)\mozilla firefox\plugins\AppSub32.dll
[2009.09.18 23:10:37 | 000,098,304 | ---- | M] (Internet Pictures Corp.) -- C:\Program Files (x86)\mozilla firefox\plugins\NpIpx32.dll
[2010.03.19 09:42:03 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.03.19 09:42:03 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.03.19 09:42:03 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.03.19 09:42:04 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.03.19 09:42:04 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 22:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4:64bit: - HKLM..\Run: [Broadcom Wireless Manager UI] C:\Windows\SysNative\WLTRAY.exe (Dell Inc.)
O4:64bit: - HKLM..\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [SysTrayApp] C:\Programme\IDT\WDM\sttray64.exe (IDT, Inc.)
O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKCU..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe (The Eraser Project)
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_Plugin.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\SysWow64\GPhotos.scr (Google Inc.)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab (Symantec AntiVirus scanner)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18:64bit: - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - Reg Error: Key error. File not found
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{847d34f1-a531-11de-96e4-0025645017b5}\Shell\AutoRun\command - "" = H:\Menu.exe
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.14 01:43:36 | 000,000,000 | ---D | C] -- C:\Users\Home\AppData\Roaming\Malwarebytes
[2011.02.14 01:43:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.02.14 01:43:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.02.14 01:43:19 | 000,024,152 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.02.14 01:43:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.02.13 22:21:16 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2011.02.13 22:21:15 | 001,502,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2011.02.13 22:21:15 | 001,448,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2011.02.13 22:21:15 | 000,242,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2011.02.13 22:17:43 | 000,466,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\odbc32.dll
[2011.02.13 22:17:43 | 000,413,696 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\odbc32.dll
[2011.02.13 22:17:24 | 001,251,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\sdclt.exe
[2011.02.13 22:17:13 | 000,456,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\shlwapi.dll
[2011.02.13 22:16:03 | 004,699,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntoskrnl.exe
[2011.02.13 22:16:03 | 001,585,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdll.dll
[2011.02.13 22:15:56 | 000,367,104 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysNative\atmfd.dll
[2011.02.13 22:15:56 | 000,292,352 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\atmfd.dll
[2011.02.13 22:15:55 | 000,048,128 | ---- | C] (Adobe Systems) -- C:\Windows\SysNative\atmlib.dll
[2011.02.13 22:15:55 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\SysWow64\atmlib.dll
[2011.02.07 01:25:23 | 000,000,000 | ---D | C] -- C:\Users\Home\dwhelper
[2011.02.06 02:27:39 | 000,000,000 | ---D | C] -- C:\Users\Home\Videos
[2011.02.06 00:52:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\xing shared
[2011.02.06 00:52:15 | 000,198,848 | ---- | C] (RealNetworks, Inc.) -- C:\Windows\SysWow64\rmoc3260.dll
[2011.02.06 00:52:03 | 000,006,656 | ---- | C] (RealNetworks, Inc.) -- C:\Windows\SysWow64\pndx5016.dll
[2011.02.06 00:52:03 | 000,005,632 | ---- | C] (RealNetworks, Inc.) -- C:\Windows\SysWow64\pndx5032.dll
[2011.02.06 00:52:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Real
[2011.02.06 00:51:59 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\Windows\SysWow64\pncrt.dll
[2011.02.04 14:33:49 | 000,000,000 | ---D | C] -- C:\Users\Home\Documents\DivX Movies
[2011.01.20 23:19:52 | 000,000,000 | ---D | C] -- C:\Users\Home\AppData\Roaming\Avira
[2 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.15 13:50:28 | 000,003,616 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.02.15 13:50:28 | 000,003,616 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.02.15 11:11:40 | 000,068,608 | ---- | M] () -- C:\Users\Home\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.02.15 09:50:26 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.02.15 09:50:13 | 4291,145,728 | -HS- | M] () -- C:\hiberfil.sys
[2011.02.14 02:01:07 | 000,344,864 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.02.13 02:57:08 | 000,006,955 | ---- | M] () -- C:\Users\Home\AppData\Roaming\113C.49F
[2011.02.12 19:02:33 | 001,418,806 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.02.12 19:02:33 | 000,618,442 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.02.12 19:02:33 | 000,587,178 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.02.12 19:02:33 | 000,122,842 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.02.12 19:02:33 | 000,101,250 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.02.06 00:52:15 | 000,198,848 | ---- | M] (RealNetworks, Inc.) -- C:\Windows\SysWow64\rmoc3260.dll
[2011.02.06 00:52:03 | 000,006,656 | ---- | M] (RealNetworks, Inc.) -- C:\Windows\SysWow64\pndx5016.dll
[2011.02.06 00:52:03 | 000,005,632 | ---- | M] (RealNetworks, Inc.) -- C:\Windows\SysWow64\pndx5032.dll
[2011.02.06 00:51:59 | 000,272,896 | ---- | M] (Progressive Networks) -- C:\Windows\SysWow64\pncrt.dll
[2011.02.06 00:51:55 | 000,499,712 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\msvcp71.dll
[2011.02.06 00:51:55 | 000,348,160 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\msvcr71.dll
[2011.01.21 17:50:13 | 000,456,192 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\shlwapi.dll
[2 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.13 01:44:54 | 000,006,955 | ---- | C] () -- C:\Users\Home\AppData\Roaming\113C.49F
[2010.11.28 11:17:02 | 000,424,178 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistMSI7162.txt
[2010.11.28 11:17:02 | 000,011,642 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistUI7162.txt
[2010.09.22 10:14:39 | 000,358,448 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistMSI4EB6.txt
[2010.09.22 10:14:38 | 000,012,294 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistUI4EB6.txt
[2010.08.30 15:32:01 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.07.31 10:58:21 | 000,408,108 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistMSI431C.txt
[2010.07.31 10:58:20 | 000,011,636 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistUI431C.txt
[2010.01.21 00:47:58 | 000,007,168 | ---- | C] () -- C:\Windows\SysWow64\drivers\StarOpen.sys
[2009.12.30 09:51:18 | 000,117,248 | ---- | C] () -- C:\Windows\SysWow64\EhStorAuthn.dll
[2009.12.30 09:50:17 | 000,368,640 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.10.08 21:08:51 | 000,027,648 | ---- | C] () -- C:\Windows\SysWow64\AVSredirect.dll
[2009.09.18 23:07:53 | 000,000,052 | ---- | C] () -- C:\Windows\IpxViewr.INI
[2009.09.12 09:26:08 | 000,335,106 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistMSI35B9.txt
[2009.09.12 09:26:08 | 000,012,026 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistUI35B9.txt
[2009.09.08 14:41:09 | 000,068,608 | ---- | C] () -- C:\Users\Home\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.07 22:54:40 | 000,002,237 | ---- | C] () -- C:\ProgramData\hpzinstall.log
[2009.09.07 22:36:18 | 000,423,020 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistMSI0BD3.txt
[2009.09.07 22:36:18 | 000,011,996 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistUI0BD3.txt
[2009.09.07 22:21:42 | 000,436,328 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistMSI00A4.txt
[2009.09.07 22:21:41 | 000,012,252 | ---- | C] () -- C:\Users\Home\AppData\Local\dd_vcredistUI00A4.txt
[2009.09.07 21:54:00 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2008.01.21 03:50:05 | 000,060,124 | ---- | C] () -- C:\Windows\SysWow64\tcpmon.ini
[2007.08.15 23:33:14 | 003,596,288 | ---- | C] () -- C:\Windows\SysWow64\qt-dx331.dll
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\Windows\SysWow64\OUTLPERF.INI

< End of report >
         
--- --- ---

Alt 15.02.2011, 14:34   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Vollscan Malwarebytes??? Den solltest du zuerst machen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.02.2011, 14:40   #9
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 15.02.2011 13:59:31 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Software
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.7930.16406)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 43,00% Memory free
8,00 Gb Paging File | 6,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 283,40 Gb Total Space | 127,71 Gb Free Space | 45,06% Space Free | Partition Type: NTFS
Drive E: | 14,65 Gb Total Space | 6,65 Gb Free Space | 45,38% Space Free | Partition Type: NTFS
 
Computer Name: HOME-PC | User Name: Home | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l File not found
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L" File not found
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L"
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = 9F 9E 16 8C DC 5B C8 01  [binary data]
"VistaSp2" = 9E F1 F5 64 31 89 CA 01  [binary data]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1B2788CE-9125-4960-85D5-FF47C49BDF37}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{5E7BFCEE-F905-4F8D-8495-45BF63270945}" = lport=2869 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{310ADD26-1D0B-454E-A779-8CAE86C5D366}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"{4B5B6678-5EA5-4479-B09F-E2C8C0509D74}" = dir=in | app=c:\program files (x86)\windows live\messenger\wlcsdk.exe | 
"{4F4E7073-2C69-4F95-96A6-4EC2EF568472}" = dir=in | app=c:\program files (x86)\windows live\messenger\msnmsgr.exe | 
"{7A154553-02D3-48A2-A67A-6EEBA6361D7E}" = dir=in | app=c:\program files\cyberlink\powerdvd dx\pdvddxsrv.exe | 
"{886E8928-2C1B-44A6-A36B-655DF717CE5F}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | 
"{9B8B20FD-1B24-46C4-8EC2-75DE398B1E9F}" = dir=in | app=c:\program files\cyberlink\powerdvd dx\powerdvd.exe | 
"{9E3C27D7-D41B-44E6-8B2F-2724B45B3837}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | 
"{FFB1B8C1-5504-49EF-BEF7-DC00F7E25998}" = dir=in | app=c:\program files (x86)\windows live\sync\windowslivesync.exe | 
"TCP Query User{10A6FF8F-0F36-40BF-96AF-C49C31AB9BFE}C:\program files (x86)\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files (x86)\real\realplayer\realplay.exe | 
"TCP Query User{1EB62576-2CCB-4258-AC07-AE04220BA75A}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"TCP Query User{8727DCE0-A93D-45CB-9D11-A55C87F47720}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"TCP Query User{C6376C11-BCDA-4A54-850C-CDC3EEC640A6}C:\users\home\appdata\roaming\octoshape\octoshape streaming services\octoshapeclient.exe" = protocol=6 | dir=in | app=c:\users\home\appdata\roaming\octoshape\octoshape streaming services\octoshapeclient.exe | 
"TCP Query User{CABF039D-1D60-43A8-ACC7-048177D7F55C}C:\program files (x86)\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files (x86)\internet explorer\iexplore.exe | 
"UDP Query User{1B332A28-9363-4F3A-BB08-84441D45C336}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"UDP Query User{2A23BEAB-261A-462E-9061-514746C4E372}C:\program files (x86)\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files (x86)\real\realplayer\realplay.exe | 
"UDP Query User{85F25EC1-9099-4F77-8D38-97381FE79496}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"UDP Query User{A9340F6D-223B-4F00-833F-AA7E3C0E949D}C:\users\home\appdata\roaming\octoshape\octoshape streaming services\octoshapeclient.exe" = protocol=17 | dir=in | app=c:\users\home\appdata\roaming\octoshape\octoshape streaming services\octoshapeclient.exe | 
"UDP Query User{EB73CDEE-D197-4CE1-8325-3ECA10BB9C54}C:\program files (x86)\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files (x86)\internet explorer\iexplore.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{17E02F38-FF2D-4c3d-83DF-ECE2A1D20A5E}" = AIO_CDB_ToolboxIni64
"{26A24AE4-039D-4CA4-87B4-2F86416013FF}" = Java(TM) 6 Update 13 (64-bit)
"{68660049-8D48-427C-9FF7-139D8340CDC0}" = MSVC80_x64
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{87CF757E-C1F1-4D22-865C-00C6950B5258}" = Quickset
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9F560BEB-021F-43AC-825F-AA60442D8DE4}" = 64 Bit HP CIO Components Installer
"{B80CC46C-5839-4A48-B051-3CACF23A2718}_is1" = Eraser 5.8.7
"{B89FA075-12C2-16F9-85E7-BD1A4EBE8828}" = ccc-utility64
"{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}" = HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0E2B312-D7FD-4349-A9B6-E90B36DB1BD1}" = Paint.NET v3.5.5
"Creative OA013" = Integrated Webcam Driver (1.00.04.0310)  
"E8A6D621B6D3FC5D43C68C549D959DE76EEF5D84" = Windows-Treiberpaket - Nokia Modem  (06/01/2009 4.1)
"F779F5541ABD99C95C03B0FD5E3C058B22DA0FF7" = Windows-Treiberpaket - Nokia Modem  (06/01/2009 7.01.0.3)
"FCEC33AD40CEA5E0FC4CEE6E42041A0DA189652D" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"HP Imaging Device Functions" = HP Imaging Device Functions 8.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 8.0
"HPExtendedCapabilities" = HP Customer Participation Program 8.0
"HPOCR" = HP OCR Software 8.0
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{0568BF74-8EA7-F577-12C4-ACA664850BB4}" = Catalyst Control Center Localization Dutch
"{05F84591-D572-32C9-2F50-60BD0A06F6ED}" = Catalyst Control Center Graphics Previews Common
"{06C7BC0B-B9E3-E329-F43E-49D833511553}" = Catalyst Control Center Localization Norwegian
"{08E81ABD-79F7-49C2-881F-FD6CB0975693}" = Roxio Creator Data
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{095B1DCF-5E8B-47EC-9B18-481918A731DB}" = Microsoft Default Manager
"{09760D42-E223-42AD-8C3E-55B47D0DDAC3}" = Roxio Creator DE
"{09B7AB90-B6F6-4D33-9E0E-3F8056EE8DF0}" = 4200_Help
"{0C973594-7DDF-4BD0-84ED-3517F7622037}" = PC Connectivity Solution
"{0D2E9DCB-9938-475E-B4DD-8851738852FF}" = AIO_Scan
"{12E19522-2ED0-879C-6BDB-0C8702057982}" = Catalyst Control Center Localization Korean
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1746EA69-DCB6-4408-B5A5-E75F55439CDF}" = Scan
"{179C56A4-F57F-4561-8BBF-F911D26EB435}" = WebReg
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1BCF8073-BB9E-F4DD-DDB4-885A6A9F4DB9}" = CCC Help Norwegian
"{1DE37FF6-6858-1226-AE0A-91FA57A1131E}" = Catalyst Control Center Graphics Full New
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}" = Roxio Creator Tools
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20D8E6B9-5E1A-4CE5-83D8-EF3626B6CEF9}" = Catalyst Control Center - Branding
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{222FD583-5E5C-CCD3-8985-411CDCF5A53D}" = Catalyst Control Center Localization Spanish
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{22C29076-0897-EC77-E014-5BE69F534341}" = CCC Help Spanish
"{232EF3A8-3F3C-5451-F771-88B6CCC63A3A}" = Catalyst Control Center Localization French
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 15
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{299CF645-48C7-4FA1-8BCD-5CE200CF180D}" = Microsoft Search Enhancement Pack
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Roxio Update Manager
"{3203AA3A-F8B2-3870-368E-BEB97B63E078}" = Catalyst Control Center Graphics Previews Vista
"{3626901D-951B-C73C-2F46-F1B6CAB4EA2C}" = CCC Help Chinese Standard
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3D39E775-DDDA-4327-B747-0BDC5F191331}" = Nokia PC Suite
"{3E06104A-0977-642D-94E7-7E66E66380F4}" = CCC Help Korean
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{40DB7876-3204-C9CB-CD84-779A14574CB7}" = CCC Help Finnish
"{49F2B650-2D7B-4F59-B33D-346F63776BD3}" = DocProc
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{52D02A2B-03D2-4E34-A358-DC5D951FD296}" = Nokia Connectivity Cable Driver
"{546568C8-6E75-4600-A875-335A08B43D3E}" = CCC Help Russian
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{566BAEC0-74CB-4ACC-9E18-8779AC974FB0}" = Windows Live Toolbar
"{593BA7E2-B10D-2610-E19A-BB9C4C2D5AA4}" = Catalyst Control Center Localization Chinese Traditional
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{610F49CD-AF09-510C-7931-3D705CA1D05E}" = Catalyst Control Center Localization Russian
"{65D0C510-D7B6-4438-9FC8-E6B91115AB0D}" = Live! Cam Avatar Creator
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Roxio Express Labeler 3
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67819B47-548B-B5C4-A322-BD320DBFC932}" = Skins
"{67D3F1A0-A1F2-49b7-B9EE-011277B170CD}" = HPProductAssistant
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD DX
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}" = Roxio Creator Audio
"{765356C0-15E5-10E4-4C83-24E3A23C5969}" = Catalyst Control Center Graphics Full Existing
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{7A7DC702-DEDE-42A8-8722-B3BA724D546F}" = Fax
"{7B63B2922B174135AFC0E1377DD81EC2}" = 
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{7F90C6BF-7B22-6AFC-C160-9E891F5FFCEB}" = ccc-core-static
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{89E0B4B2-14DC-CE7C-8B91-4857748C64EC}" = CCC Help Japanese
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8C6027FD-53DC-446D-BB75-CACD7028A134}" = HP Update
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90024193-9F13-4877-89D5-A1CDF0CBBF28}" = Feedback Tool
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95D08F4E-DFC2-4ce3-ACB7-8C8E206217E9}" = MarketResearch
"{978C25EE-5777-46e4-8988-732C297CBDBD}" = Status
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{99EF36FC-2B0C-DEDF-946B-BBCE91FD7A37}" = CCC Help Swedish
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B1FD9CE-0776-4f0b-A6F5-C6AB7B650CDF}" = Destinations
"{9B3E9492-87F0-4D08-B054-2596F738AB35}" = 4200Trb
"{A188CB7C-D7E9-BB51-78B6-814EEBE59D82}" = Catalyst Control Center Localization Danish
"{A36CD345-625C-4d6c-B3E2-76E1248CB451}" = SolutionCenter
"{A3B7C670-4A1E-4EE2-950E-C875BC1965D0}" = Copy
"{A8F35F8F-0554-4420-465E-1DFB2DE11A96}" = Catalyst Control Center Localization Chinese Standard
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AC76BA86-7AD7-5760-0000-900000000003}" = Japanese Fonts Support For Adobe Reader 9
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B5BCBD49-202F-4238-8398-D83D423A48B4}" = Windows Live Anmelde-Assistent
"{B641A74D-DF4B-65BC-483B-18C48C8E08D4}" = Catalyst Control Center Localization Finnish
"{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}" = Roxio Creator Copy
"{B9BF2556-F414-4E75-DF71-1C30878D343E}" = Catalyst Control Center Localization Japanese
"{BB448C54-4E83-B1CD-A99D-6B90289B7877}" = Catalyst Control Center Localization Italian
"{BCBF29DB-94FA-260C-A287-C615C7535DA5}" = Catalyst Control Center Graphics Light
"{BCC78B32-851D-4FA1-9E58-62E3237D30E4}" = CCC Help Chinese Traditional
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{BE77A81F-B315-4666-9BF3-AE70C0ADB057}" = BufferChm
"{BF1926DC-925A-72D8-20D4-8B7CBCD151F3}" = Catalyst Control Center InstallProxy
"{C0BD9756-6F7A-369B-A5DA-442B599CF86F}" = CCC Help Dutch
"{C3E413A0-40D0-3A3D-2695-8DAC668F5D3C}" = Catalyst Control Center Localization Swedish
"{C41C3410-8E6B-E468-0AD1-ECD377B525CE}" = Catalyst Control Center Core Implementation
"{C647001D-212E-46E6-279E-3E0BD328D016}" = CCC Help Danish
"{C716522C-3731-4667-8579-40B098294500}" = Toolbox
"{CB8D07A2-D676-CA34-5F92-000A5ECD1A42}" = CCC Help Italian
"{CD4778C1-0AEB-75FB-0D73-4B3F9F94533A}" = CCC Help French
"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D28B0CC2-56F1-44EE-EEA9-54FF5434FBE6}" = CCC Help German
"{D96041CA-E723-CF83-CD3D-459CD853A0CC}" = Catalyst Control Center Localization German
"{DE4FBF52-6825-4C31-8C7A-B12FA71A1583}" = 4200
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E06F04B9-45E6-4AC0-8083-85F7515F40F7}" = UnloadSupport
"{E09575B2-498D-4C8B-A9D2-623F78574F29}" = AIO_CDB_Software
"{E096A50A-5F13-7133-2DC7-36182F76E7CF}" = Catalyst Control Center Localization Portuguese
"{E4C869A3-F64E-53D3-40E8-19E75B66B931}" = CCC Help Portuguese
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{E7112940-5F8E-4918-B9FE-251F2F8DC81F}" = AIO_CDB_ProductContext
"{E8A09A9C-5886-D1BD-6E00-A15CD7F63F42}" = CCC Help English
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}" = HPSSupply
"{ED439A64-F018-4DD4-8BA5-328D85AB09AB}" = Roxio Creator DE
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"{FF075778-6E50-47ed-991D-3B07FD4E3250}" = TrayApp
"7-Zip" = 7-Zip 4.65
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Advanced Audio FX Engine" = Advanced Audio FX Engine
"Audacity_is1" = Audacity 1.2.6
"AURC_is1" = Audacity Recovery Utility
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"FoxyTunesForFirefox" = FoxyTunes for Firefox
"IPIX Viewer" = IPIX Viewer
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"Picasa 3" = Picasa 3
"RarZilla Free Unrar" = RarZilla Free Unrar
"RealPlayer 12.0" = RealPlayer
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"VLC media player" = VLC media player 1.1.5
"Winamp" = Winamp
"WinGimp-2.0_is1" = GIMP 2.6.8
"WinLiveSuite_Wave3" = Windows Live Essentials
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dr. DivX 2.0 OSS" = Dr. DivX 2.0 OSS
"Move Media Player" = Move Media Player
"Octoshape Streaming Services" = Octoshape Streaming Services
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 23.01.2011 05:48:52 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 24.01.2011 09:10:02 | Computer Name = Home-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 24.01.2011 09:10:05 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 24.01.2011 09:10:08 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 24.01.2011 09:10:08 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 25.01.2011 08:07:27 | Computer Name = Home-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 25.01.2011 08:07:31 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 25.01.2011 08:07:36 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 25.01.2011 08:07:36 | Computer Name = Home-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 

[ System Events ]
Error - 05.02.2011 05:12:24 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 06.02.2011 06:36:21 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 07.02.2011 05:38:48 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 08.02.2011 05:35:09 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 09.02.2011 06:30:40 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 10.02.2011 03:17:35 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 12.02.2011 20:58:53 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 12.02.2011 23:12:26 | Computer Name = Home-PC | Source = WinDefend | ID = 1008
Description = 
 
Error - 13.02.2011 05:50:49 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 15.02.2011 04:51:22 | Computer Name = Home-PC | Source = Service Control Manager | ID = 7011
Description = 
 
 
< End of report >
         
--- --- ---

Alt 15.02.2011, 14:46   #10
SteGri
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Ja, danke. Malwarebytes' hab ich schon mehrmals laufen lassen. Hatte ich in #1 auch schon gleich aufgelistet. Hier nochmal was von Malwarebytes' von heute Morgen:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5755

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.7930.16406

15.02.2011 11:44:55
mbam-log-2011-02-15 (11-44-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 353346
Laufzeit: 1 Stunde(n), 24 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 15.02.2011, 15:57   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Standard

Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?



Zitat:
Hatte ich in #1 auch schon gleich aufgelistet.
Das war aber kein VOLLSCAN!!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?
aktiv, antivir, csrss.exe, cycbot.b, dateien, defender, e-banking, emails, eraser, erkennen, formatieren, gelöscht, gen, hijack.shell, home, home premium, internetverbindung, keine internetverbindung, löschen, neustart, nicht löschen, nichts, online-banking, programm, service, syscheckrt.exe, system, system neu, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, verbindung, virus, vista, vista home premium




Ähnliche Themen: Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?


  1. atiedxx.exe, csrss.exe und winlogon.exe Trojaner gefunden.
    Log-Analyse und Auswertung - 26.07.2015 (4)
  2. csrss key-logger bzw Trojaner im Taskmanager gefunden
    Plagegeister aller Art und deren Bekämpfung - 22.02.2014 (7)
  3. winlogon.exe und csrss.exe ---> Trojaner
    Log-Analyse und Auswertung - 30.10.2013 (3)
  4. Trojaner: csrss.exe, dwm.exe, doclhmfmarfwhmfmj[1].exe, info[1].exe
    Log-Analyse und Auswertung - 22.07.2012 (13)
  5. TR/Atraps.gen.2 Trojaner von AntiVir gemeldet und mit Malwarebyte entfernt - bitte Log prüfen
    Log-Analyse und Auswertung - 12.07.2012 (3)
  6. Trojan.Banker und Backdoor.Agent mit Malwarebytes entfernt - weitere Schritte nötig?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2012 (3)
  7. Trojaner noch da? csrss.exe doppelt vorhanden
    Log-Analyse und Auswertung - 13.04.2012 (3)
  8. BDS/Cycbot.G.685, TR/TDss.71.30, TR/Dldr.Dofoil.60 u.a. - permanent neue Trojaner-/Virenwarnungen!
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (30)
  9. GEMA-Trojaner auf Rechner eines Unerfahrenen (genaue Anleitung nötig)
    Log-Analyse und Auswertung - 27.12.2011 (12)
  10. BDS/Cycbot.G.3276 und Trojaner TR/Inject.boyd.1
    Log-Analyse und Auswertung - 14.11.2011 (1)
  11. Vermutlich Trojaner (dwm.exe / csrss.exe)
    Log-Analyse und Auswertung - 17.06.2011 (1)
  12. Trojaner + csrss.exe & winlogon.exe ohne Beschreibung
    Plagegeister aller Art und deren Bekämpfung - 09.06.2011 (32)
  13. csrss.exe, Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.03.2011 (1)
  14. Trojaner(?) - "Backdoor:Win32/Cycbot.B" fund durch Windows Defender
    Plagegeister aller Art und deren Bekämpfung - 19.03.2011 (23)
  15. Trojaner in wininit.exe und csrss.exe?
    Log-Analyse und Auswertung - 01.09.2010 (1)
  16. Sparkassen Trojaner. Eingabe von 40 TANs nötig
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (6)
  17. Trojaner entfernbar oder komplette Neuinstallation nötig?
    Log-Analyse und Auswertung - 18.05.2007 (8)

Zum Thema Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? - Hallo zusammen. Windows Defender und AntiVir hatten bei mir einen Cycbot.B Trojaner gemeldet. Die gemeldeten Dateien habe ich löschen lassen, den gesamten TEMP-Ordner, in dem sie sich befanden, ebenso und - Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?...
Archiv
Du betrachtest: Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.