| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: PUM.Hijack.taskmanagerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.06.2011, 13:57
| #1 |
 |  PUM.Hijack.taskmanager Hallo, gestern habe ich mir einen von den o.g. eingefangen. Ich habe bereits hier im Forum gestöbert und auch schon einige maßnamen getroffen wie z.b. unhide.exe sowie mbam. Jetzt habe ich mir OTL runtergeladen und sowit gescannt. Doch nun brauche ich doch ein bisschen hilfe, weil ich natürlich nicht allein so eine benutzdefinierte fix durchführen kann. Es wäre schön wenn mir jemand dabei helfen könnte. liebe grüße Micha OTL'1 Code:
ATTFilter OTL logfile created on: 04.06.2011 14:17:56 - Run 2 OTL by OldTimer - Version 3.2.23.0 Folder = C:\Dokumente und Einstellungen\MS\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023,30 Mb Total Physical Memory | 587,45 Mb Available Physical Memory | 57,41% Memory free 2,31 Gb Paging File | 1,92 Gb Available in Paging File | 83,13% Paging File free Paging file location(s): C:\pagefile.sys 1440 2880 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,01 Gb Total Space | 56,96 Gb Free Space | 38,22% Space Free | Partition Type: FAT32 Drive D: | 1,31 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: CASCADE01 | User Name: MS | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom) PRC - C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\ClocX\ClocX.exe (BonSoft) PRC - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- File not found SRV - (AppMgmt) -- File not found SRV - (Steam Client Service) -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe (Valve Corporation) SRV - (TomTomHOMEService) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom) SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (ServiceLayer) -- C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe (Nokia.) ========== Driver Services (SafeList) ========== DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) DRV - (MIINPazX) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) DRV - (MTOnlPktAlyX) -- C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\MTOnlPktAlyx.sys (T-Online International AG, Marmiko IT-Solutions GmbH) DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation) DRV - (SenFiltService) -- C:\WINDOWS\system32\drivers\senfilt.sys (Sensaura) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology) DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology) DRV - (NPPTNT2) -- C:\WINDOWS\system32\npptNT2.sys (INCA Internet Co., Ltd.) DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech, Inc.) DRV - (L8042mou) -- C:\WINDOWS\system32\drivers\L8042mou.Sys (Logitech, Inc.) DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech, Inc.) DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/home?AF=18837 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 128.10.19.52:3127 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18837" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: 2020Player@2020Technologies.com:4.5.2.0 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.8 FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.63 FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.51 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {cf47767d-5f3a-4e32-9fce-5d79565c9702}:1.1.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=adbartrp&AF=18837&q=" FF - prefs.js..network.proxy.http: "206.64.92.16" FF - prefs.js..network.proxy.http_port: 8000 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.19 09:36:34 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2008.09.25 16:50:54 | 000,000,000 | ---D | M] [2008.09.25 16:54:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Extensions [2010.09.11 14:09:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2006.08.10 19:35:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions [2010.08.01 20:14:20 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.06.02 16:41:46 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2011.03.28 15:52:46 | 000,000,000 | ---D | M] (LinkExtend) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\{cf47767d-5f3a-4e32-9fce-5d79565c9702} [2011.06.02 16:41:42 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2011.06.02 16:41:44 | 000,000,000 | ---D | M] ("BetterPrivacy") -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3} [2010.06.10 12:21:08 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2010.09.04 14:06:58 | 000,000,000 | ---D | M] (20-20 3D Viewer) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\extensions\2020Player@2020Technologies.com [2008.09.25 16:50:54 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.08.01 18:46:54 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.10.25 08:42:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.01.13 17:13:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} [2011.03.07 09:45:42 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2010.08.01 18:46:46 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2008.08.07 14:53:08 | 001,271,760 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\Mozilla Firefox\plugins\NpFv501.dll [2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2011.03.26 16:20:58 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2011.03.26 16:20:58 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.03.26 16:20:58 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2011.03.26 16:20:58 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2011.03.26 16:20:58 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml [2011.06.03 22:27:20 | 000,002,226 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\babylon.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe (BonSoft) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [Nokia FastStart] File not found O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] File not found O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [EA Core] File not found O4 - HKCU..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.) O4 - HKCU..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\NBJ.exe (Ahead Software AG) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} hxxp://musicmix.messenger.msn.com/Medialogic.CAB (CMediaMix Object) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1268653601086 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1268653593429 (MUWebControl Class) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.02.19 17:25:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ] O32 - AutoRun File - [2007.02.19 17:25:40 | 000,000,046 | ---- | M] () - C:\AUTOEXEC.CW -- [ FAT32 ] O32 - AutoRun File - [2005.08.23 06:51:39 | 000,028,672 | R--- | M] (Dipl.-Ing. Stefan Krueger <skrueger@installsite.org>) - D:\autorun.exe -- [ CDFS ] O32 - AutoRun File - [2005.08.23 06:51:39 | 000,000,047 | R--- | M] () - D:\autorun.inf -- [ CDFS ] O32 - AutoRun File - [2005.08.23 06:51:39 | 000,001,042 | R--- | M] () - D:\autorun.ini -- [ CDFS ] O33 - MountPoints2\{20e6a6ca-bd9d-11df-8c78-0015f263211c}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe O33 - MountPoints2\{c5a3837a-a0e1-11dd-899d-0015f263211c}\Shell\AutoRun\command - "" = F:\web'n'walk_Helper.exe O33 - MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\Shell\AutoRun\command - "" = D:\autorun.exe -- [2005.08.23 06:51:39 | 000,028,672 | R--- | M] (Dipl.-Ing. Stefan Krueger <skrueger@installsite.org>) O33 - MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\Shell - "" = AutoRun O33 - MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe HOME.vbs O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.06.04 14:15:11 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe [2011.06.03 22:27:45 | 000,000,000 | ---D | C] -- C:\Programme\Babylon [2011.06.03 22:27:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\FileHunter [2011.06.03 20:06:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Asya [2011.06.03 19:18:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\NewYork 2010 [2011.06.03 19:12:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Hörbücher [2011.06.03 19:11:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Gemischtes [2011.06.03 19:11:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Dendemann - Abersowasvonlive [2011.06.03 19:03:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Desktop\Reisekosten [2011.06.03 18:56:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Amazon MP3 [2011.06.03 18:56:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Aggro Berlin [2011.06.03 18:17:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Anti Spyware [2011.06.03 18:14:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy [2011.06.03 17:47:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Malwarebytes [2011.06.03 17:47:26 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.06.03 17:47:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.06.03 17:47:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.06.03 17:47:22 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.06.03 17:47:21 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.06.03 17:17:12 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\MS\Recent [2011.05.23 10:53:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\JonDo [2011.05.19 20:12:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\R-B-A ========== Files - Modified Within 30 Days ========== [2011.06.04 14:15:06 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe [2011.06.04 14:00:50 | 000,606,105 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\unhide.exe [2011.06.04 13:51:02 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011.06.04 13:45:18 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.06.04 13:44:48 | 000,001,078 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011.06.04 13:44:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.06.03 18:37:42 | 003,462,033 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\pci_filerecovery.exe [2011.06.03 18:14:38 | 000,000,829 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\Spybot - Search & Destroy.lnk [2011.06.03 17:47:28 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\Malwarebytes' Anti-Malware.lnk [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.05.13 11:22:54 | 000,228,864 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== Files Created - No Company Name ========== [2011.06.04 14:04:48 | 000,000,598 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Biet-O-Matic.lnk [2011.06.04 14:04:48 | 000,000,560 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2011.06.04 14:00:46 | 000,606,105 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\unhide.exe [2011.06.03 18:37:20 | 003,462,033 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\pci_filerecovery.exe [2011.06.03 18:14:37 | 000,000,829 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\Spybot - Search & Destroy.lnk [2011.06.03 17:47:26 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\Malwarebytes' Anti-Malware.lnk [2011.01.28 14:55:30 | 000,252,080 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin [2011.01.28 14:55:28 | 000,252,080 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin [2011.01.28 14:55:28 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin [2011.01.28 14:55:03 | 002,292,678 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin [2010.10.24 12:42:59 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll [2010.09.03 18:18:01 | 000,087,552 | ---- | C] () -- C:\WINDOWS\System32\cpwmon2k.dll [2010.07.11 18:56:09 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2009.08.09 21:52:40 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.01.11 23:11:20 | 000,000,856 | ---- | C] () -- C:\WINDOWS\unins000.dat [2008.10.22 05:29:06 | 000,173,550 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat [2008.10.11 17:17:34 | 000,000,214 | ---- | C] () -- C:\WINDOWS\scrantic.ini [2008.09.16 02:14:24 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.09.16 02:11:10 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2008.09.04 12:03:59 | 000,652,152 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2008.06.09 22:14:51 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll [2007.09.26 13:31:24 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys [2007.09.19 19:01:01 | 000,000,041 | ---- | C] () -- C:\WINDOWS\MAXDOS.INI [2007.06.28 17:43:00 | 001,018,772 | ---- | C] () -- C:\WINDOWS\System32\nvucode.bin [2007.04.21 00:18:01 | 000,003,491 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2007.03.10 13:09:15 | 000,004,212 | ---- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2006.08.12 15:29:59 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\dm.ini [2006.08.10 19:35:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2006.08.10 19:35:18 | 000,003,587 | ---- | C] () -- C:\WINDOWS\mozver.dat [2006.08.09 18:01:20 | 000,118,784 | R--- | C] () -- C:\WINDOWS\bwUnin-7.2.0.157-8876480SL.exe [2006.08.02 18:29:28 | 000,118,784 | R--- | C] () -- C:\WINDOWS\bwUnin-7.2.0.137-8876480SL.exe [2006.06.26 21:27:01 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2006.06.03 23:03:38 | 000,000,324 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2006.05.10 20:51:33 | 000,228,864 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2006.05.10 00:22:17 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2006.05.04 22:11:47 | 000,000,211 | ---- | C] () -- C:\WINDOWS\uno.ini [2006.05.04 22:11:42 | 000,287,744 | ---- | C] () -- C:\WINDOWS\uno364mi.dll [2006.05.04 22:11:42 | 000,109,568 | ---- | C] () -- C:\WINDOWS\vos364mi.dll [2006.05.04 22:11:42 | 000,091,648 | ---- | C] () -- C:\WINDOWS\osl364mi.dll [2006.05.04 21:40:35 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.05.03 21:04:38 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2006.05.03 20:37:00 | 000,000,292 | ---- | C] () -- C:\WINDOWS\lexstat.ini [2006.04.21 11:43:00 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2006.04.19 23:22:20 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2006.04.19 23:07:26 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2006.04.19 23:03:21 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2006.04.19 22:58:50 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2006.04.19 22:53:53 | 000,119,744 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2004.08.18 14:37:11 | 000,001,743 | ---- | C] () -- C:\WINDOWS\System32\Oeminfo.ini [1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL [1980.01.01 00:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [1980.01.01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [1980.01.01 00:00:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [1980.01.01 00:00:00 | 000,458,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [1980.01.01 00:00:00 | 000,441,106 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [1980.01.01 00:00:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [1980.01.01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [1980.01.01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [1980.01.01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [1980.01.01 00:00:00 | 000,084,740 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [1980.01.01 00:00:00 | 000,071,424 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [1980.01.01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [1980.01.01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [1980.01.01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [1980.01.01 00:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [1980.01.01 00:00:00 | 000,004,493 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [1980.01.01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [1980.01.01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat < End of report > OTL'2 Code:
ATTFilter OTL Extras logfile created on: 04.06.2011 14:17:56 - Run 2
OTL by OldTimer - Version 3.2.23.0 Folder = C:\Dokumente und Einstellungen\MS\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1023,30 Mb Total Physical Memory | 587,45 Mb Available Physical Memory | 57,41% Memory free
2,31 Gb Paging File | 1,92 Gb Available in Paging File | 83,13% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,01 Gb Total Space | 56,96 Gb Free Space | 38,22% Space Free | Partition Type: FAT32
Drive D: | 1,31 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Computer Name: CASCADE01 | User Name: MS | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"FirewallDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger -- (Logitech Inc.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Messenger\MSMSGS.EXE" = C:\Programme\Messenger\MSMSGS.EXE:*:Enabled:Windows Messenger
"C:\WINDOWS\System32\dpvsetup.exe" = C:\WINDOWS\System32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\~os3.tmp\ossproxy.exe" = C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\~os3.tmp\ossproxy.exe:*:Enabled:ossproxy.exe
"C:\Programme\Real\RealPlayer\RealPlay.exe" = C:\Programme\Real\RealPlayer\RealPlay.exe:*:Enabled:RealPlayer
"C:\Programme\TVUPlayer\TVUPlayer.exe" = C:\Programme\TVUPlayer\TVUPlayer.exe:*:Enabled:TVU Player Component
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger -- (Logitech Inc.)
"C:\Dokumente und Einstellungen\MS\Desktop\Games\worms\worms4 mayham\WORMS 4 MAYHEM.EXE" = C:\Dokumente und Einstellungen\MS\Desktop\Games\worms\worms4 mayham\WORMS 4 MAYHEM.EXE:*:Enabled:Worms 4 Mayhem
"C:\Dokumente und Einstellungen\MS\Desktop\Games\DukeNukem3D WinXP for www.torrent-galaxy.to\duke3d.exe" = C:\Dokumente und Einstellungen\MS\Desktop\Games\DukeNukem3D WinXP for www.torrent-galaxy.to\duke3d.exe:*:Enabled:duke3d
"C:\Dokumente und Einstellungen\MS\Desktop\Games\JK3\GameData\jamp.exe" = C:\Dokumente und Einstellungen\MS\Desktop\Games\JK3\GameData\jamp.exe:*:Enabled:Jedi Academy MultiPlayer
"C:\WINDOWS\System32\dplaysvr.exe" = C:\WINDOWS\System32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\MS\Desktop\Games\dk.exe" = C:\Dokumente und Einstellungen\MS\Desktop\Games\dk.exe:*:Enabled:dk
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\WINDOWS\System32\java.exe" = C:\WINDOWS\System32\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Electronic Arts\EADM\Core.exe" = C:\Programme\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager
"C:\Programme\Ghost Recon\GRAW.exe" = C:\Programme\Ghost Recon\GRAW.exe:*:Disabled:GRAW
"C:\Ghost Recon\GRAW.exe" = C:\Ghost Recon\GRAW.exe:*:Disabled:GRAW
"C:\Programme\WDR RECORDER\Player\ClipInc-Player.exe" = C:\Programme\WDR RECORDER\Player\ClipInc-Player.exe:*:Disabled:ClipInc Player -- (Tobit.Software)
"C:\Programme\WDR RECORDER\Server\ClipInc-Server.exe" = C:\Programme\WDR RECORDER\Server\ClipInc-Server.exe:*:Disabled:ClipInc Server
"C:\Programme\WDR RECORDER\Player\RadioRecorder.exe" = C:\Programme\WDR RECORDER\Player\RadioRecorder.exe:*:Disabled:WDR RadioRecorder -- (Tobit.Software)
"C:\Programme\Electronic Arts\BattleForge\Bootstrapper.exe" = C:\Programme\Electronic Arts\BattleForge\Bootstrapper.exe:*:Enabled:BattleForge™ Launcher -- (EA Phenomic)
"C:\Programme\Electronic Arts\BattleForge\BattleForge.exe" = C:\Programme\Electronic Arts\BattleForge\BattleForge.exe:*:Enabled:BattleForge™ -- (EA Phenomic)
"C:\Programme\Stronghold 2\Stronghold2.exe" = C:\Programme\Stronghold 2\Stronghold2.exe:*:Enabled:Stronghold 2 -- (Firefly Studios)
"C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth -- (Google)
"C:\Steam\Steam.exe" = C:\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Steam\SteamApps\sleep0190\counter-strike\hl.exe" = C:\Steam\SteamApps\sleep0190\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{16D2C649-CBA8-44EE-B730-12584667D487}" = Stronghold 2 Deluxe
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 24
"{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}" = Logitech SetPoint
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{43602F34-1AA3-44FB-AEB2-D08C2C73743F}" = Paint.NET v3.36
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{59E4543A-D49D-4489-B445-473D763C79AF}" = Microsoft Games for Windows - LIVE Redistributable
"{5E863175-E85D-44A6-8968-82507D34AE7F}" = QuickTime
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{78CC3BAB-DE2A-4FB4-8FBB-E4DADDC26747}" = Ad-Aware SE Personal
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}" = Logitech Desktop Messenger
"{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}" = Windows Live Essentials
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{a0fe116e-9a8a-466f-aee0-625cb7c207e3}" = Microsoft Visual C++ 2005 Redistributable - KB2467175
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9F6CFB0-806D-11E0-8EA1-B8AC6F97B88E}" = Google Earth Plug-in
"{AC76BA86-7AD7-1031-7B44-A70800000002}" = Adobe Reader 7.0.8 - Deutsch
"{B1275E23-717A-4D52-997A-1AD1E24BC7F3}" = T-Online 6.0
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 266.58
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 266.58
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.50
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C580908C-B3BA-4C19-BD60-16F02F272201}" = BattleForge™
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D848D140-41C3-4A53-86D8-E866A100B4CD}" = PC Connectivity Solution
"{DF5A03CC-D5AA-43D8-B948-D9903F2AF94A}" = Counter-Strike(TM)
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{FBB6E04F-B100-42BE-8B96-B35D23992163}" = Musicload Manager
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"AdobeESD" = Adobe Download Manager 2.0 (Nur entfernen)
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"AMP WinOFF" = AMP WinOFF
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"CCleaner" = CCleaner
"ClocX" = ClocX (1.5b2)
"CutePDF Writer Installation" = CutePDF Writer 2.8
"DivX Setup.divx.com" = DivX-Setup
"Flatcast_is1" = Flatcast 5.0
"HijackThis" = HijackThis 1.99.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"My Office Sim" = My Office Sim
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"RealPlayer 6.0" = RealPlayer
"RollerCoaster Tycoon 3_is1" = RollerCoaster Tycoon 3
"Steam App 10" = Counter-Strike
"Steam App 100" = Counter-Strike: Condition Zero Deleted Scenes
"Steam App 30" = Day of Defeat
"Steam App 40" = Deathmatch Classic
"Steam App 60" = Ricochet
"Steam App 80" = Counter-Strike: Condition Zero
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"TomTom HOME" = TomTom HOME 2.7.6.2056
"WGA" = Windows Genuine Advantage Validation Tool
"WIC" = Windows Imaging Component
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR archiver
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Yahoo! Companion" = Yahoo! Companion
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileHunter" = FileHunter
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 03.05.2011 23:22:59 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1108) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 05.05.2011 12:06:52 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1088) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 05.05.2011 12:06:52 | Computer Name = CASCADE01 | Source = ESENT | ID = 470
Description = Catalog Database (1088) Datenbank C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
wurde teilweise angehängt. Anhängungsstufe: 3. Fehler: -1032.
Error - 12.05.2011 10:34:17 | Computer Name = CASCADE01 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msimn.exe, Version 6.0.2900.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.05.2011 04:52:47 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1108) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 16.05.2011 23:18:27 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1108) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 19.05.2011 11:45:19 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1088) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 23.05.2011 23:18:20 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1188) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 30.05.2011 23:19:54 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1188) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 02.06.2011 14:10:36 | Computer Name = CASCADE01 | Source = ESENT | ID = 490
Description = svchost (1180) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
[ System Events ]
Error - 03.06.2011 11:20:04 | Computer Name = CASCADE01 | Source = Print | ID = 23
Description = Der Drucker Lexmark X1100 Series,0 konnte nicht initialisiert werden,
da der Treiber Lexmark X1100 Series nicht gefunden wurde.
Error - 03.06.2011 11:20:06 | Computer Name = CASCADE01 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd
Error - 03.06.2011 11:59:23 | Computer Name = CASCADE01 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 03.06.2011 11:59:30 | Computer Name = CASCADE01 | Source = Print | ID = 23
Description = Der Drucker Lexmark X1100 Series,0 konnte nicht initialisiert werden,
da der Treiber Lexmark X1100 Series nicht gefunden wurde.
Error - 03.06.2011 11:59:45 | Computer Name = CASCADE01 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
nvata sptd
Error - 03.06.2011 12:09:55 | Computer Name = CASCADE01 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd
Error - 03.06.2011 12:09:56 | Computer Name = CASCADE01 | Source = Print | ID = 23
Description = Der Drucker Lexmark X1100 Series,0 konnte nicht initialisiert werden,
da der Treiber Lexmark X1100 Series nicht gefunden wurde.
Error - 03.06.2011 14:08:38 | Computer Name = CASCADE01 | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {FB7199AB-79BF-11D2-8D94-0000F875C541}.
Fehler:
"%3"
aufgetreten
beim Starten dieses Befehls: C:\Programme\Messenger\msmsgs.exe -Embedding
Error - 04.06.2011 07:45:00 | Computer Name = CASCADE01 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd
Error - 04.06.2011 07:45:02 | Computer Name = CASCADE01 | Source = Print | ID = 23
Description = Der Drucker Lexmark X1100 Series,0 konnte nicht initialisiert werden,
da der Treiber Lexmark X1100 Series nicht gefunden wurde.
< End of report >
|
|
05.06.2011, 16:48
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | PUM.Hijack.taskmanagerZitat:
__________________ |
|
05.06.2011, 17:12
| #3 |
| | PUM.Hijack.taskmanager Hallo Arne,
__________________erstmal vielen dank das Du dich meinem Problem annimmst. Habe insgesamt 3 Logs wobei auf zweien nichts mehr zu sehen ist. Log1 Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6763
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.06.2011 17:53:55
mbam-log-2011-06-03 (17-53-55).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147621
Laufzeit: 5 Minute(n), 4 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} (Adware.Need2Find) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
c:\programme\VVSN (Adware.WhenU) -> Quarantined and deleted successfully.
c:\programme\VVSN\URL2 (Adware.WhenU) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\fvhaxclnxknqk.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\VVSN\URL2\WUSVInst.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6763
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.06.2011 18:05:39
mbam-log-2011-06-03 (18-05-39).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147426
Laufzeit: 4 Minute(n), 25 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6769
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
04.06.2011 20:17:48
mbam-log-2011-06-04 (20-17-48).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 240083
Laufzeit: 33 Minute(n), 32 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Micha |
|
05.06.2011, 17:19
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PUM.Hijack.taskmanagerZitat:
Können wir aber später mit convert auf NTFS ziehen. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/home?AF=18837
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 128.10.19.52:3127
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18837"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=adbartrp&AF=18837&q="
FF - prefs.js..network.proxy.http: "206.64.92.16"
FF - prefs.js..network.proxy.http_port: 8000
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKCU..\Run: [EA Core] File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.02.19 17:25:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2007.02.19 17:25:40 | 000,000,046 | ---- | M] () - C:\AUTOEXEC.CW -- [ FAT32 ]
O32 - AutoRun File - [2005.08.23 06:51:39 | 000,028,672 | R--- | M] (Dipl.-Ing. Stefan Krueger <skrueger@installsite.org>) - D:\autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2005.08.23 06:51:39 | 000,000,047 | R--- | M] () - D:\autorun.inf -- [ CDFS ]
O32 - AutoRun File - [2005.08.23 06:51:39 | 000,001,042 | R--- | M] () - D:\autorun.ini -- [ CDFS ]
O33 - MountPoints2\{20e6a6ca-bd9d-11df-8c78-0015f263211c}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe
O33 - MountPoints2\{c5a3837a-a0e1-11dd-899d-0015f263211c}\Shell\AutoRun\command - "" = F:\web'n'walk_Helper.exe
O33 - MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\Shell\AutoRun\command - "" = D:\autorun.exe -- [2005.08.23 06:51:39 | 000,028,672 | R--- | M] (Dipl.-Ing. Stefan Krueger <skrueger@installsite.org>)
O33 - MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\Shell - "" = AutoRun
O33 - MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe HOME.vbs
[2011.06.03 22:27:45 | 000,000,000 | ---D | C] -- C:\Programme\Babylon
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.06.2011, 17:59
| #5 | |
| | PUM.Hijack.taskmanager Ok, das ist gemacht. hier noch das Log: Code:
ATTFilter ========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
Prefs.js: "hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18837" removed from browser.search.defaulturl
Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
Prefs.js: "Search the web (Babylon)" removed from browser.search.selectedEngine
Prefs.js: "hxxp://search.babylon.com/?babsrc=adbartrp&AF=18837&q=" removed from keyword.URL
Prefs.js: "206.64.92.16" removed from network.proxy.http
Prefs.js: 8000 removed from network.proxy.http_port
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\EA Core not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully.
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\AUTOEXEC.CW moved successfully.
File move failed. D:\autorun.exe scheduled to be moved on reboot.
File move failed. D:\autorun.inf scheduled to be moved on reboot.
File move failed. D:\autorun.ini scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{20e6a6ca-bd9d-11df-8c78-0015f263211c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20e6a6ca-bd9d-11df-8c78-0015f263211c}\ not found.
File E:\InstallTomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5a3837a-a0e1-11dd-899d-0015f263211c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5a3837a-a0e1-11dd-899d-0015f263211c}\ not found.
File F:\web'n'walk_Helper.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ece14e49-dacf-11da-8529-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ece14e49-dacf-11da-8529-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ece14e49-dacf-11da-8529-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ece14e49-dacf-11da-8529-806d6172696f}\ not found.
File move failed. D:\autorun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f6af86a0-e630-11dd-89e9-0015f263211c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f6af86a0-e630-11dd-89e9-0015f263211c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f6af86a0-e630-11dd-89e9-0015f263211c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f6af86a0-e630-11dd-89e9-0015f263211c}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe HOME.vbs not found.
Folder C:\Programme\Babylon\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.23.0 log created on 06052011_185427
Files\Folders moved on Reboot...
File move failed. D:\autorun.exe scheduled to be moved on reboot.
File move failed. D:\autorun.inf scheduled to be moved on reboot.
File move failed. D:\autorun.ini scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Zitat:
Und wo kommt eigentich dieser ganze Babylon kram her? Liebe grüße Micha Geändert von XmichaX (05.06.2011 um 18:05 Uhr) |
|
05.06.2011, 18:28
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PUM.Hijack.taskmanager Erinner mich später an die Umwandlung zu NTFS falls ich das vergessen sollte. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ --> PUM.Hijack.taskmanager |
|
05.06.2011, 19:05
| #7 |
| | PUM.Hijack.taskmanager Jep ist auch erledigt. Und hier die Log: Code:
ATTFilter 2011/06/05 20:02:15.0703 2952 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/05 20:02:15.0828 2952 ================================================================================
2011/06/05 20:02:15.0828 2952 SystemInfo:
2011/06/05 20:02:15.0828 2952
2011/06/05 20:02:15.0828 2952 OS Version: 5.1.2600 ServicePack: 3.0
2011/06/05 20:02:15.0828 2952 Product type: Workstation
2011/06/05 20:02:15.0828 2952 ComputerName: CASCADE01
2011/06/05 20:02:15.0828 2952 UserName: MS
2011/06/05 20:02:15.0828 2952 Windows directory: C:\WINDOWS
2011/06/05 20:02:15.0828 2952 System windows directory: C:\WINDOWS
2011/06/05 20:02:15.0828 2952 Processor architecture: Intel x86
2011/06/05 20:02:15.0828 2952 Number of processors: 1
2011/06/05 20:02:15.0828 2952 Page size: 0x1000
2011/06/05 20:02:15.0828 2952 Boot type: Normal boot
2011/06/05 20:02:15.0828 2952 ================================================================================
2011/06/05 20:02:16.0578 2952 Initialize success
2011/06/05 20:02:29.0812 3472 ================================================================================
2011/06/05 20:02:29.0812 3472 Scan started
2011/06/05 20:02:29.0812 3472 Mode: Manual;
2011/06/05 20:02:29.0812 3472 ================================================================================
2011/06/05 20:02:30.0625 3472 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/05 20:02:30.0718 3472 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/05 20:02:30.0843 3472 ADIHdAudAddService (d392183cc5379e302e50ceba635248eb) C:\WINDOWS\system32\drivers\ADIHdAud.sys
2011/06/05 20:02:31.0109 3472 AEAudioService (9f59ae2de835641fbb0c6afd80d8fa9b) C:\WINDOWS\system32\drivers\AEAudio.sys
2011/06/05 20:02:31.0187 3472 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/06/05 20:02:31.0343 3472 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/06/05 20:02:32.0765 3472 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/05 20:02:32.0828 3472 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/05 20:02:33.0031 3472 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/05 20:02:33.0140 3472 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/05 20:02:33.0250 3472 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/06/05 20:02:33.0375 3472 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/06/05 20:02:33.0515 3472 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/06/05 20:02:33.0562 3472 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/05 20:02:33.0765 3472 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/05 20:02:33.0843 3472 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/06/05 20:02:34.0046 3472 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/05 20:02:34.0140 3472 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/05 20:02:34.0203 3472 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/05 20:02:35.0078 3472 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/05 20:02:35.0187 3472 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/05 20:02:35.0328 3472 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/05 20:02:35.0406 3472 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/05 20:02:35.0500 3472 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/05 20:02:35.0734 3472 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/05 20:02:35.0875 3472 ENTECH (fd9fc82f134b1c91004ffc76a5ae494b) C:\WINDOWS\system32\DRIVERS\ENTECH.sys
2011/06/05 20:02:35.0968 3472 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/05 20:02:36.0000 3472 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/06/05 20:02:36.0078 3472 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/05 20:02:36.0125 3472 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/06/05 20:02:36.0218 3472 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/06/05 20:02:36.0265 3472 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/05 20:02:36.0296 3472 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/05 20:02:36.0484 3472 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/05 20:02:36.0625 3472 HdAudAddService (f58d2900c66a1e773e3375098e0e9337) C:\WINDOWS\system32\drivers\HdAudio.sys
2011/06/05 20:02:36.0734 3472 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/06/05 20:02:36.0828 3472 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/05 20:02:37.0140 3472 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/05 20:02:37.0484 3472 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/06/05 20:02:37.0562 3472 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/05 20:02:37.0968 3472 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/06/05 20:02:38.0031 3472 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/05 20:02:38.0125 3472 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/05 20:02:38.0187 3472 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/05 20:02:38.0250 3472 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/05 20:02:38.0312 3472 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/05 20:02:38.0343 3472 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/05 20:02:38.0390 3472 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/05 20:02:38.0437 3472 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/05 20:02:38.0515 3472 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/05 20:02:38.0640 3472 L8042Kbd (ad1541d5ff5b3f903da34737b6ba9a53) C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
2011/06/05 20:02:38.0750 3472 L8042mou (e9d3c991f28f01415a7b56a854d243d8) C:\WINDOWS\system32\DRIVERS\L8042mou.Sys
2011/06/05 20:02:39.0046 3472 LMouKE (0e34232fca6f20172b1d8b6e8a9a26d1) C:\WINDOWS\system32\DRIVERS\LMouKE.Sys
2011/06/05 20:02:39.0171 3472 MIINPazX (5e5024d9e2351db2563b30912b4c4146) C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
2011/06/05 20:02:39.0265 3472 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/05 20:02:39.0437 3472 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/05 20:02:39.0609 3472 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/05 20:02:39.0765 3472 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/05 20:02:39.0937 3472 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/05 20:02:40.0218 3472 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/05 20:02:40.0359 3472 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/05 20:02:40.0562 3472 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/05 20:02:40.0718 3472 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/05 20:02:40.0875 3472 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/05 20:02:41.0015 3472 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/05 20:02:41.0109 3472 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/05 20:02:41.0265 3472 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/06/05 20:02:41.0390 3472 MTOnlPktAlyX (03e6bfa5c4b56c951a86eafb942be7be) C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
2011/06/05 20:02:41.0546 3472 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/05 20:02:41.0703 3472 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/06/05 20:02:41.0890 3472 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/05 20:02:42.0046 3472 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/06/05 20:02:42.0203 3472 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/05 20:02:42.0359 3472 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/05 20:02:42.0500 3472 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/05 20:02:42.0593 3472 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/05 20:02:42.0750 3472 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/05 20:02:42.0906 3472 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/05 20:02:43.0140 3472 nm (1e421a6bcf2203cc61b821ada9de878b) C:\WINDOWS\system32\DRIVERS\NMnt.sys
2011/06/05 20:02:43.0281 3472 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/05 20:02:44.0125 3472 NPPTNT2 (9131fe60adfab595c8da53ad6a06aa31) C:\WINDOWS\system32\npptNT2.sys
2011/06/05 20:02:44.0281 3472 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/05 20:02:44.0359 3472 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/05 20:02:44.0765 3472 nv (18c9b152da7bea76b2f9e4b6412e0aaf) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/06/05 20:02:45.0140 3472 nvata (11d1ad7e946538e02f9ef6a6e1792061) C:\WINDOWS\system32\DRIVERS\nvata.sys
2011/06/05 20:02:45.0234 3472 NVENETFD (2a7a2c6ab9631028b6e3a4159aa65705) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/06/05 20:02:45.0343 3472 nvnetbus (20526a8827dc0956b5526aebcb6751a0) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/06/05 20:02:45.0421 3472 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/05 20:02:45.0500 3472 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/05 20:02:45.0656 3472 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/06/05 20:02:45.0843 3472 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/05 20:02:45.0921 3472 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/05 20:02:46.0062 3472 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/05 20:02:46.0250 3472 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/06/05 20:02:46.0421 3472 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/05 20:02:47.0703 3472 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/05 20:02:48.0390 3472 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/06/05 20:02:48.0546 3472 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/05 20:02:48.0687 3472 PSI (d24dfd16a1e2a76034df5aa18125c35d) C:\WINDOWS\system32\DRIVERS\psi_mf.sys
2011/06/05 20:02:48.0734 3472 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/05 20:02:48.0890 3472 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/06/05 20:02:49.0656 3472 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/05 20:02:49.0796 3472 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/05 20:02:49.0937 3472 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/05 20:02:49.0984 3472 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/05 20:02:50.0156 3472 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/05 20:02:50.0187 3472 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/05 20:02:50.0359 3472 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/05 20:02:50.0546 3472 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/05 20:02:50.0687 3472 SASDIFSV (a3281aec37e0720a2bc28034c2df2a56) C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
2011/06/05 20:02:50.0750 3472 SASKUTIL (61db0d0756a99506207fd724e3692b25) C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
2011/06/05 20:02:50.0937 3472 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/05 20:02:51.0062 3472 SenFiltService (eca77beeb2be8d573cf1b265e44fbfbd) C:\WINDOWS\system32\drivers\Senfilt.sys
2011/06/05 20:02:51.0218 3472 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/06/05 20:02:51.0359 3472 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/06/05 20:02:51.0500 3472 sfdrv01 (b659e4af7534e3516ddc0b820db8f910) C:\WINDOWS\system32\drivers\sfdrv01.sys
2011/06/05 20:02:51.0609 3472 sfhlp02 (64b9ab76f1b16eb059cb6cdd906c067a) C:\WINDOWS\system32\drivers\sfhlp02.sys
2011/06/05 20:02:51.0734 3472 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/05 20:02:51.0843 3472 sfsync02 (3fcb3fe43737b0ef6fe759fc0b886a69) C:\WINDOWS\system32\drivers\sfsync02.sys
2011/06/05 20:02:52.0156 3472 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/06/05 20:02:52.0593 3472 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/05 20:02:52.0875 3472 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/05 20:02:52.0984 3472 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/05 20:02:53.0140 3472 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/06/05 20:02:53.0312 3472 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/06/05 20:02:53.0468 3472 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/05 20:02:53.0625 3472 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/05 20:02:54.0328 3472 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/05 20:02:54.0484 3472 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/05 20:02:54.0656 3472 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/05 20:02:54.0796 3472 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/05 20:02:54.0937 3472 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/05 20:02:55.0250 3472 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/05 20:02:55.0515 3472 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/05 20:02:55.0703 3472 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/06/05 20:02:55.0828 3472 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/05 20:02:55.0906 3472 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/05 20:02:56.0031 3472 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/05 20:02:56.0171 3472 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/06/05 20:02:56.0312 3472 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/06/05 20:02:56.0437 3472 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/06/05 20:02:56.0625 3472 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/05 20:02:56.0765 3472 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/06/05 20:02:57.0046 3472 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/05 20:02:57.0187 3472 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/05 20:02:57.0468 3472 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/05 20:02:57.0671 3472 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/06/05 20:02:57.0750 3472 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
2011/06/05 20:02:57.0890 3472 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/06/05 20:02:58.0015 3472 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/06/05 20:02:58.0156 3472 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/06/05 20:02:58.0234 3472 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/06/05 20:02:58.0343 3472 ================================================================================
2011/06/05 20:02:58.0343 3472 Scan finished
2011/06/05 20:02:58.0343 3472 ================================================================================
2011/06/05 20:02:58.0343 3260 Detected object count: 0
2011/06/05 20:02:58.0343 3260 Actual detected object count: 0
Micha |
|
05.06.2011, 19:37
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PUM.Hijack.taskmanager Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.06.2011, 20:02
| #9 |
| | PUM.Hijack.taskmanager Hey Arne, CF warnt mich wegen meines Avira obwohl ich es inaktiv geschaltet habe. Bekomme das nicht komplett abgeschaltet. Geändert von XmichaX (05.06.2011 um 20:24 Uhr) |
|
05.06.2011, 20:24
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PUM.Hijack.taskmanager Notfalls deinstallieren, aber wenn der Regenschirm eingeklappt ist sollte das reichen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.06.2011, 20:40
| #11 |
| | PUM.Hijack.taskmanager Ja hat gereicht habe nochmal im Leitfaden rumgelesen. so und da ist die log von CF: Code:
ATTFilter ComboFix 11-06-05.02 - MS 05.06.2011 21:29:24.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.651 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\MS\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {804FD218-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\MS\WINDOWS
c:\windows\Fonts\acrsec.fon
c:\windows\regedit.com
c:\windows\system32\taskmgr.com
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-05 bis 2011-06-05 ))))))))))))))))))))))))))))))
.
.
2011-06-05 18:19 . 2011-06-05 18:19 -------- d-----w- c:\dokumente und einstellungen\MS\Anwendungsdaten\SumatraPDF
2011-06-05 18:19 . 2011-06-05 18:19 -------- d-----w- c:\programme\SumatraPDF
2011-06-05 14:22 . 2011-06-05 14:22 -------- d-----w- c:\programme\QuickTime
2011-06-05 14:22 . 2011-06-05 14:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2011-06-05 14:22 . 2011-06-05 14:22 -------- d-----w- c:\dokumente und einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Apple
2011-06-05 14:22 . 2011-06-05 14:22 -------- d-----w- c:\programme\Apple Software Update
2011-06-05 14:22 . 2011-06-05 14:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2011-06-05 12:47 . 2011-06-05 12:47 -------- d-----w- c:\programme\Winamp Detect
2011-06-05 12:47 . 2011-06-05 12:47 -------- d-----w- c:\programme\Winamp
2011-06-05 12:47 . 2011-06-05 12:47 -------- d-----w- c:\dokumente und einstellungen\MS\Anwendungsdaten\Winamp
2011-06-05 12:32 . 2011-04-14 16:40 142296 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-06-05 12:32 . 2011-04-14 16:40 89048 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2011-06-05 12:32 . 2011-04-14 16:40 781272 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-06-05 12:32 . 2011-04-14 16:40 465880 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2011-06-05 12:32 . 2011-04-14 16:40 1874904 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2011-06-05 12:32 . 2011-04-14 16:40 15832 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2011-06-05 12:32 . 2010-01-01 08:00 1974616 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-06-05 12:32 . 2010-01-01 08:00 1892184 ----a-w- c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-06-05 11:47 . 2011-06-05 13:11 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-05 11:31 . 2011-06-05 11:31 -------- d-----w- c:\dokumente und einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Secunia PSI
2011-06-05 11:31 . 2011-06-05 11:31 -------- d-----w- c:\programme\Secunia
2011-06-05 10:12 . 2011-06-05 10:12 -------- d-----w- c:\dokumente und einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2011-06-05 10:12 . 2011-06-05 10:12 -------- d-----w- c:\dokumente und einstellungen\MS\Anwendungsdaten\Thunderbird
2011-06-05 10:12 . 2011-06-05 10:12 -------- d-----w- c:\programme\Mozilla Thunderbird
2011-06-04 21:35 . 2011-06-04 21:35 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2011-06-04 21:35 . 2011-06-04 21:35 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2011-06-04 19:58 . 2011-06-04 19:58 -------- d-----w- c:\dokumente und einstellungen\MS\Anwendungsdaten\SUPERAntiSpyware.com
2011-06-04 19:58 . 2011-06-04 19:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-06-04 19:58 . 2011-06-04 19:58 -------- d-----w- c:\programme\SUPERAntiSpyware
2011-06-04 17:29 . 2011-06-04 17:29 -------- d-----w- C:\_OTL
2011-06-03 20:27 . 2011-06-03 20:27 -------- d-----w- c:\dokumente und einstellungen\MS\Anwendungsdaten\FileHunter
2011-06-03 15:47 . 2011-06-03 15:47 -------- d-----w- c:\dokumente und einstellungen\MS\Anwendungsdaten\Malwarebytes
2011-06-03 15:47 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-03 15:47 . 2011-06-03 15:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-06-03 15:47 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-03 15:47 . 2011-06-03 15:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-14 16:40 . 2011-06-05 12:32 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-09 67128]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-08-09 1961984]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-05-23 2424192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"ClocX"="c:\programme\ClocX\ClocX.exe" [2007-07-26 270336]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 176128]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Secunia PSI Tray.lnk - c:\programme\Secunia\PSI\psi_tray.exe [2011-4-19 291896]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LDM"=c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"nwiz"=nwiz.exe /install
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\java.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\WDR RECORDER\\Player\\ClipInc-Player.exe"=
"c:\\Programme\\WDR RECORDER\\Player\\RadioRecorder.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=
"c:\\Programme\\Stronghold 2\\Stronghold2.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Steam\\Steam.exe"=
"c:\\Steam\\SteamApps\\sleep0190\\counter-strike\\hl.exe"=
.
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.10.2009 11:31 108289]
R2 Secunia PSI Agent;Secunia PSI Agent;c:\programme\Secunia\PSI\PSIA.exe --start-service --> c:\programme\Secunia\PSI\PSIA.exe --start-service [?]
R2 Secunia Update Agent;Secunia Update Agent;c:\programme\Secunia\PSI\sua.exe --start-service --> c:\programme\Secunia\PSI\sua.exe --start-service [?]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.08.2010 11:38 92008]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [01.09.2010 10:30 15544]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.06.2010 12:36 136176]
S3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys --> c:\windows\system32\DRIVERS\camfilt2.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.06.2010 12:36 136176]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [28.08.2006 23:04 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [24.11.2005 13:41 17664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 53692657
*Deregistered* - 53692657
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-08 10:36]
.
2011-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-08 10:36]
.
2011-06-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
uInternet Connection Wizard,ShellNext = iexplore
TCP: Interfaces\{5C018942-9F6C-405F-B611-7CE10323C7F0}: NameServer = 192.168.2.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\8novf6yf.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-dimsntfy - (no file)
AddRemove-HijackThis - c:\dokume~1\MS\LOKALE~1\Temp\Rar$EX00.453\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-05 21:33
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ASFWHide]
"ImagePath"="\??\c:\dokume~1\MS\LOKALE~1\Temp\ASFWHide"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-878505087-815180191-3594355876-1005\Software\SecuROM\License information*]
"datasecu"=hex:c7,2f,ec,83,03,8f,c7,96,7c,0c,9c,1e,24,1d,20,82,17,50,2c,63,62,
53,7d,c9,a7,5e,dd,46,c7,8d,38,9b,9c,bd,45,81,5b,2e,f6,de,0b,88,3e,90,12,a4,\
"rkeysecu"=hex:ba,12,7c,57,2c,6f,94,c9,f0,14,11,52,94,a9,07,88
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(500)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2011-06-05 21:35:20
ComboFix-quarantined-files.txt 2011-06-05 19:35
.
Vor Suchlauf: 19 Verzeichnis(se), 61.115.891.712 Bytes frei
Nach Suchlauf: 40 Verzeichnis(se), 61.236.707.328 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
Current=3 Default=3 Failed=1 LastKnownGood=5 Sets=1,3,4,5
- - End Of File - - 92DB162A2E773331F82F73BFB63F20D2
Micha |
|
05.06.2011, 20:51
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PUM.Hijack.taskmanager Ok. Erstmal sollten wir zu NTFS wandeln. Ein Backup aller wichtigen Daten auf externe Platte jetzt kann nicht schaden. Systempartition nach NTFS konvertieren: 1) Start, Ausführen, cmd eintippen und ok
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.06.2011, 20:58
| #13 |
| | PUM.Hijack.taskmanager Ein Backup auf eine externe FP. Leider besitze ich sowas nicht. Soll ich die schritte trotzdem so ausführen auch ohne backup? Oder habe ich einfach was falsch verstanden?   |
|
05.06.2011, 21:12
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PUM.Hijack.taskmanager Ein Backup ist für den Fall der Fälle. Noch nie ist mir bei convert was in die Luft gegangen  Aber Backups sollte man eh immer haben
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.06.2011, 21:27
| #15 |
| | PUM.Hijack.taskmanager ok werde deinen Rat beherzigen wollte sowieso irgendwann noch ne externe FP haben. aber jetzt erstmal die NTFS sache.... geht los jetzt :-) |
|
| Themen zu PUM.Hijack.taskmanager |
| 0x00000001, 0xc0000001, ad-aware, adblock, antivir, avira, bho, c:\windows\system32\rundll32.exe, entfernen, error, firefox, flash player, format, google earth, hdaudio.sys, hijack, hijackthis, home, installation, logfile, mozilla, nicht gefunden, object, oldtimer, plug-in, prozess, registry, rundll, safer networking, search the web, searchplugins, security, server, shell32.dll, shortcut, software, starten, super, svchost, visual studio, windows internet, wscript.exe |
