Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Spyeyes.kpf

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.07.2011, 23:52   #1
Linaaahh
 
Spyeyes.kpf - Standard

Spyeyes.kpf



Nabend Ihr hilfreichen Geister,

ich hab mich vorgestern bei meinem onlinebanking einloggen wollen, da ging dann ein fremdes Fenster auf, was mich aufforderte mehrere Tans einzugeben.
Nachtigall, ick hör Dir trabsen...
Zu, aus.
Gestern hatt ich keine Zeit, heut hab ich dann mal den Malwarebytes angeschmissen. Kein Fund.
Avira geupdated, laufen lassen, MIEEEEP, Fund:

In der Datei 'C:\Recycle.Bin\B6232F3A815.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.kpf' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Soweit so gut.
Zusätzliche Probleme in den letzten knapp 2 Wochen waren mangelhafter Seitenaufbau, upload NULL, ich konnte nichtmal Forenbeitrage wegschicken.

Das ist beides seit "Zugriff verweigern" deutlich besser! Ich konnte meinen seit Tagen als .doc rumliegenden Forenbeitrag endlich absenden,und offenbar geht mein Posting hier auch hoch.

Defogger keine Meldung, (darfich das nu wieder enablen?)

Hier die Logs von OTL und Gmer:

OTL:

OTL logfile created on: 31.07.2011 23:29:04 - Run 1
OTL by OldTimer - Version 3.2.26.1 Folder = C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

503,17 Mb Total Physical Memory | 181,80 Mb Available Physical Memory | 36,13% Memory free
1,20 Gb Paging File | 0,90 Gb Available in Paging File | 75,28% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,74 Gb Free Space | 72,11% Space Free | Partition Type: NTFS

Computer Name: SARAH-095F2E258 | User Name: Sarah | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.07.31 23:25:51 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.07.01 19:01:21 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.04.27 14:50:46 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.08.02 17:09:32 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2010.01.14 23:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.09.23 13:38:18 | 000,935,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
PRC - [2008.04.14 11:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe
PRC - [2007.04.17 20:46:54 | 000,009,216 | ---- | M] (Agere Systems) -- C:\WINXP\system32\agrsmsvc.exe


========== Modules (SafeList) ==========

MOD - [2011.07.31 23:25:51 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads\OTL.exe
MOD - [2008.04.14 11:00:00 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINXP\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - File not found [Auto | Stopped] -- -- (gupdate) Google Update Service (gupdate)
SRV - [2011.07.01 19:01:21 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.27 14:50:46 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2009.09.23 13:38:18 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2007.04.17 20:46:54 | 000,009,216 | ---- | M] (Agere Systems) [Auto | Running] -- C:\WINXP\system32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2006.10.26 19:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.03.09 06:31:02 | 000,065,795 | R--- | M] (HP) [On_Demand | Stopped] -- C:\WINXP\system32\HPZipm12.exe -- (Pml Driver HPZ12)


========== Driver Services (SafeList) ==========

DRV - [2011.07.01 19:01:24 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.01 19:01:24 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 16:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 16:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010.04.23 18:31:01 | 000,106,432 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\AnyDVD.sys -- (AnyDVD)
DRV - [2009.11.12 14:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINXP\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.06.10 13:53:48 | 000,341,376 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RTL8187B.sys -- (RTL8187B)
DRV - [2008.04.13 21:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2007.11.06 15:40:10 | 004,608,000 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.04.17 20:46:54 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2007.02.08 15:45:00 | 000,029,184 | R--- | M] (Thesycon GmbH, Germany) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\ActionReplayDS.sys -- (ActionReplayDS)
DRV - [2006.11.28 22:46:24 | 000,028,224 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\PDNMp50.sys -- (PDNMp50)
DRV - [2006.11.28 22:46:22 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\PDNSp50.sys -- (PDNSp50)
DRV - [2006.01.23 16:20:14 | 000,027,008 | ---- | M] (Siemens AG ) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\siusbmod.sys -- (siusbmod)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://alice.aol.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.ebay.de"
FF - prefs.js..extensions.enabledItems: {888d99e7-e8b5-46a3-851e-1ec45da1e644}:4.0.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: File not found

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.09 19:18:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.31 11:22:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.11\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.06.23 09:10:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.11\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.08.17 19:13:25 | 000,000,000 | ---D | M]

[2010.08.03 20:44:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Extensions
[2010.08.03 20:44:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.06.01 20:38:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ooujpjal.default\extensions
[2010.08.05 15:16:08 | 000,000,000 | ---D | M] (ReloadEvery) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ooujpjal.default\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}
[2010.10.10 09:52:42 | 000,002,036 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\ooujpjal.default\searchplugins\alle-preise---guenstigerde.xml
[2011.06.01 20:17:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.09.27 22:00:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.09.27 22:00:10 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.09.27 22:00:10 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010.08.11 21:01:44 | 000,075,208 | ---- | M] (Foxit Software Company) -- C:\Programme\mozilla firefox\plugins\npFoxitReaderPlugin.dll
[2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2008.04.14 11:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - File not found
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll (SimplyGen)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINXP\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4/jinstall-14_07-windows-i586.cab (Java Plug-in 1.4.1_07)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.08.02 17:53:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.07.30 08:01:48 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Sarah\IECompatCache
[2011.07.24 22:18:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Identities
[2011.07.20 07:34:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Help
[2011.07.20 07:34:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Help
[2011.07.15 14:08:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\Lenas Klassenfahrt
[2011.07.11 06:09:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\wochenablauf arbeit
[2011.07.05 22:22:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\.jivex
[2010.10.05 22:32:02 | 000,118,867 | R--- | C] ( ) -- C:\WINXP\System32\DSLLK175.dll
[2010.08.03 21:38:11 | 022,589,736 | ---- | C] (Skype Technologies S.A.) -- C:\Programme\SkypeSetup248.exe
[2010.08.03 21:38:01 | 002,555,072 | ---- | C] (www.orbitdownloader.com ) -- C:\Programme\OrbitDownloader20Setup.exe
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.07.31 23:23:47 | 000,001,082 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.31 23:23:42 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2011.07.31 23:19:45 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\defogger_reenable
[2011.07.31 22:58:00 | 000,001,086 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.31 17:24:35 | 000,000,525 | ---- | M] () -- C:\hpfr3420.xml
[2011.07.31 11:17:10 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2011.07.28 21:13:18 | 000,000,001 | R--- | M] () -- C:\Dokumente und Einstellungen\Sarah\serverport
[2011.07.28 09:39:06 | 000,000,207 | -HS- | M] () -- C:\boot.ini
[2011.07.28 09:19:39 | 000,062,976 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.07.31 23:19:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\defogger_reenable
[2011.07.05 22:22:02 | 000,000,001 | R--- | C] () -- C:\Dokumente und Einstellungen\Sarah\serverport
[2011.03.07 09:56:25 | 000,005,504 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2010.12.25 16:23:12 | 000,000,056 | -H-- | C] () -- C:\WINXP\System32\ezsidmv.dat
[2010.12.10 21:04:49 | 000,000,083 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.11.13 23:00:25 | 000,000,177 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\default.rss
[2010.11.13 21:58:48 | 000,000,069 | ---- | C] () -- C:\WINXP\NeroDigital.ini
[2010.10.30 12:17:56 | 000,000,034 | ---- | C] () -- C:\WINXP\cdplayer.ini
[2010.08.12 20:42:40 | 000,020,454 | ---- | C] () -- C:\WINXP\hpoins01.dat.temp
[2010.08.12 20:42:40 | 000,016,622 | ---- | C] () -- C:\WINXP\hpomdl01.dat.temp
[2010.08.11 22:13:37 | 000,020,454 | ---- | C] () -- C:\WINXP\hpoins01.dat
[2010.08.11 22:13:37 | 000,016,622 | ---- | C] () -- C:\WINXP\hpomdl01.dat
[2010.08.11 22:11:39 | 000,561,152 | R--- | C] () -- C:\WINXP\System32\hpotscl.dll
[2010.08.04 22:16:42 | 001,060,864 | ---- | C] () -- C:\WINXP\System32\vorbis.dll
[2010.08.04 22:16:42 | 000,909,312 | ---- | C] () -- C:\WINXP\System32\vorbisenc.dll
[2010.08.04 22:16:42 | 000,544,256 | ---- | C] () -- C:\WINXP\System32\janGraphics.dll
[2010.08.04 22:16:42 | 000,454,656 | ---- | C] () -- C:\WINXP\System32\PaintX.dll
[2010.08.04 22:16:42 | 000,182,784 | ---- | C] () -- C:\WINXP\System32\DGVorbis.dll
[2010.08.04 22:16:42 | 000,175,104 | ---- | C] () -- C:\WINXP\System32\lame_enc.dll
[2010.08.04 22:16:42 | 000,118,784 | ---- | C] () -- C:\WINXP\System32\MP3DEE.DLL
[2010.08.04 22:16:42 | 000,036,864 | ---- | C] () -- C:\WINXP\System32\ogg.dll
[2010.08.04 22:16:42 | 000,029,184 | ---- | C] () -- C:\WINXP\System32\kwab.dll
[2010.08.04 14:27:54 | 000,000,038 | ---- | C] () -- C:\WINXP\avisplitter.ini
[2010.08.04 14:27:53 | 000,790,528 | ---- | C] () -- C:\WINXP\System32\xvidcore.dll
[2010.08.04 14:27:53 | 000,134,144 | ---- | C] () -- C:\WINXP\System32\xvidvfw.dll
[2010.08.04 14:27:52 | 000,108,032 | ---- | C] () -- C:\WINXP\System32\ff_vfw.dll
[2010.08.03 22:33:16 | 000,165,376 | ---- | C] () -- C:\WINXP\System32\unrar.dll
[2010.08.03 21:17:31 | 000,155,856 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.08.03 20:39:31 | 000,000,000 | ---- | C] () -- C:\WINXP\nsreg.dat
[2010.08.03 18:09:22 | 000,062,976 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.02 19:07:05 | 000,049,152 | R--- | C] () -- C:\WINXP\System32\ChCfg.exe
[2010.08.02 19:03:55 | 000,000,111 | ---- | C] () -- C:\WINXP\telephon.ini
[2010.08.02 18:54:05 | 001,174,000 | ---- | C] () -- C:\WINXP\System32\igmedkrn.dll
[2010.08.02 18:54:05 | 000,147,456 | ---- | C] () -- C:\WINXP\System32\igfxCoIn_v4864.dll
[2010.08.02 18:54:05 | 000,104,636 | ---- | C] () -- C:\WINXP\System32\igmedcompkrn.dll
[2010.08.02 18:49:19 | 000,128,113 | ---- | C] () -- C:\WINXP\System32\csellang.ini
[2010.08.02 18:49:19 | 000,045,056 | ---- | C] () -- C:\WINXP\System32\csellang.dll
[2010.08.02 18:49:19 | 000,010,146 | ---- | C] () -- C:\WINXP\System32\tosmreg.ini
[2010.08.02 18:49:19 | 000,007,671 | ---- | C] () -- C:\WINXP\System32\cseltbl.ini
[2010.08.02 18:24:01 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2010.08.02 18:22:39 | 000,290,088 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2010.08.02 17:57:27 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2010.08.02 17:50:20 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
[2008.04.14 11:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin
[2008.04.14 11:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat
[2008.04.14 11:00:00 | 000,448,918 | ---- | C] () -- C:\WINXP\System32\perfh007.dat
[2008.04.14 11:00:00 | 000,432,856 | ---- | C] () -- C:\WINXP\System32\perfh009.dat
[2008.04.14 11:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat
[2008.04.14 11:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat
[2008.04.14 11:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat
[2008.04.14 11:00:00 | 000,080,464 | ---- | C] () -- C:\WINXP\System32\perfc007.dat
[2008.04.14 11:00:00 | 000,067,560 | ---- | C] () -- C:\WINXP\System32\perfc009.dat
[2008.04.14 11:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin
[2008.04.14 11:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat
[2008.04.14 11:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat
[2008.04.14 11:00:00 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat
[2008.04.14 11:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat
[2008.04.14 11:00:00 | 000,001,804 | ---- | C] () -- C:\WINXP\System32\Dcache.bin
[2008.04.14 11:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat

========== LOP Check ==========

[2010.08.03 21:29:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2010.12.10 21:04:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2011.03.03 07:19:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.02.13 19:57:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2010.08.21 22:30:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Azureus
[2010.08.03 21:29:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Canneverbe Limited
[2010.08.11 21:03:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Foxit Software
[2011.05.29 22:27:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\GetRightToGo
[2010.08.17 19:48:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\GrabPro
[2010.08.15 20:09:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Kalenderchen
[2010.09.27 22:15:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\OpenOffice.org
[2011.06.11 20:24:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Orbit
[2011.03.07 14:25:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\phonostar GmbH
[2011.05.29 22:36:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\phonostar-Player
[2010.08.17 19:48:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\ProgSense
[2010.08.17 19:45:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Raptr
[2010.08.03 20:44:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Thunderbird
[2010.11.12 23:31:07 | 000,000,334 | ---- | M] () -- C:\WINXP\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1281558068.job

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 234 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0

< End of report >


OTL extra.txt:

OTL Extras logfile created on: 31.07.2011 23:29:04 - Run 1
OTL by OldTimer - Version 3.2.26.1 Folder = C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

503,17 Mb Total Physical Memory | 181,80 Mb Available Physical Memory | 36,13% Memory free
1,20 Gb Paging File | 0,90 Gb Available in Paging File | 75,28% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,74 Gb Free Space | 72,11% Space Free | Partition Type: NTFS

Computer Name: SARAH-095F2E258 | User Name: Sarah | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*isabled:Google Earth
"C:\Programme\Vuze\Azureus.exe" = C:\Programme\Vuze\Azureus.exe:*:Enabled:Azureus
"E:\Programme\Orbitdownloader\orbitdm.exe" = E:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit
"E:\Programme\Orbitdownloader\orbitnet.exe" = E:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\SightSpeed\SightSpeed.exe" = C:\Programme\SightSpeed\SightSpeed.exe:*:Enabled:SightSpeed -- (SightSpeed Inc.)
"F:\Programme\Orbitdownloader\orbitnet.exe" = F:\Programme\Orbitdownloader\orbitnet.exe:*isabled:P2P service of Orbit Downloader
"C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Temp\jivexviewer\jre\bin\JiveX[dv] light" = C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Temp\jivexviewer\jre\bin\JiveX[dv] light:*isabled:Java(TM) Platform SE binary
"C:\Programme\ICQ\Icq.exe" = C:\Programme\ICQ\Icq.exe:*:Enabled:ICQ Application


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01161F64-6897-4885-93A0-A9F7BE9A4253}" = hp psc 1100 series
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{0FB630AB-7BD8-40AE-B223-60397D57C3C9}" = Realtek WLAN Driver
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{33CF58F5-48D8-4575-83D6-96F574E4D83A}" = Nero DriveSpeed
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{359CFC0A-BEB1-440D-95BA-CF63A86DA34F}" = Nero Recode
"{368BA326-73AD-4351-84ED-3C0A7A52CC53}" = Nero Rescue Agent
"{43E39830-1826-415D-8BAE-86845787B54B}" = Nero Vision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595A3116-40BB-4E0F-A2E8-D7951DA56270}" = NeroExpress
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{62AC81F6-BDD3-4110-9D36-3E9EAAB40999}" = Nero CoverDesigner
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{7748AC8C-18E3-43BB-959B-088FAEA16FB2}" = Nero StartSmart
"{7829DB6F-A066-4E40-8912-CB07887C20BB}" = Nero BurnRights
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{869200DB-287A-4DC0-B02B-2B6787FBCD4C}" = Nero DiscSpeed
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{9E82B934-9A25-445B-B8DF-8012808074AC}" = Nero PhotoSnap
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A209525B-3377-43F4-B886-32F6B6E7356F}" = Nero WaveEditor
"{a7a2bfdf-56f4-4ad6-8fc3-0710a54b23d5}" = Nero 9
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B1ADF008-E898-4FE2-8A1F-690D9A06ACAF}" = DolbyFiles
"{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B78120A0-CF84-4366-A393-4D0A59BC546C}" = Menu Templates - Starter Kit
"{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}" = Nero ControlCenter
"{C5A7CB6C-E76D-408F-BA0E-85605420FE9D}" = SoundTrax
"{CA532E73-1BB7-11D8-9D6A-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.1_07
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{D025A639-B9C9-417D-8531-208859000AF8}" = NeroBurningROM
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{D9DCF92E-72EB-412D-AC71-3B01276E5F8B}" = Nero ShowTime
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{E498385E-1C51-459A-B45F-1721E37AA1A0}" = Movie Templates - Starter Kit
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"{E8A80433-302B-4FF1-815D-FCC8EAC482FF}" = Nero Installer
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FBCDFD61-7DCF-4E71-9226-873BA0053139}" = Nero InfoTool
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced Video FX Engine" = Advanced Video FX Engine
"Alice" = Alice-Installationsdateien entfernen
"AnyDVD" = AnyDVD
"Audiograbber" = Audiograbber 1.83 SE
"Audiograbber-Lame" = Audiograbber MP3-Plugin
"AutocompletePro3_is1" = AutocompletePro
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CloneDVD2" = CloneDVD2
"Digital Camera Driver" = Digital Camera Driver
"DivX Setup.divx.com" = DivX-Setup
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Foxit Reader" = Foxit Reader
"Free WAV to MP3 Converter" = Free WAV to MP3 Converter
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HP PSC 1100 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 1100 series
"IrfanView" = IrfanView (remove only)
"Java Web Start" = Java Web Start
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Full)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McDonald's Dragons " = McDonald's Dragons
"McDonald's Fairies " = McDonald's Fairies
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11)
"Orbit_is1" = Orbit Downloader
"phonostarRadioPlayer_is1" = phonostar-Player Version 2.01.2
"s25atonce_is1" = s25atonce 3.7.5
"Siemens DCA-140/540 USB Treiber_is1" = Siemens DCA-140/540 USB Treiber 1.0.7
"SightSpeed" = SightSpeed
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"Winamp" = Winamp
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 26.10.2010 13:34:28 | Computer Name = SARAH-095F2E258 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3909, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 30.10.2010 11:20:06 | Computer Name = SARAH-095F2E258 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msnmsgr.exe, Version 14.0.8117.416, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 31.10.2010 12:21:20 | Computer Name = SARAH-095F2E258 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3909, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 25.12.2010 07:35:13 | Computer Name = SARAH-095F2E258 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung startfx.exe, Version 1.80.5.0, fehlgeschlagenes
Modul cxcore097.dll, Version 0.9.7.1, Fehleradresse 0x0005491e.

Error - 25.12.2010 09:30:36 | Computer Name = SARAH-095F2E258 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung startfx.exe, Version 1.80.5.0, fehlgeschlagenes
Modul cxcore097.dll, Version 0.9.7.1, Fehleradresse 0x0005491e.

Error - 26.12.2010 06:11:20 | Computer Name = SARAH-095F2E258 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung startfx.exe, Version 1.80.5.0, fehlgeschlagenes
Modul cxcore097.dll, Version 0.9.7.1, Fehleradresse 0x0005491e.

Error - 28.12.2010 11:37:51 | Computer Name = SARAH-095F2E258 | Source = ESENT | ID = 490
Description = svchost (972) Versuch, Datei "C:\WINXP\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 31.12.2010 05:46:47 | Computer Name = SARAH-095F2E258 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung startfx.exe, Version 1.80.5.0, fehlgeschlagenes
Modul cxcore097.dll, Version 0.9.7.1, Fehleradresse 0x0005491e.

Error - 06.06.2011 14:23:44 | Computer Name = SARAH-095F2E258 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung winamp.exe, Version 5.5.8.2985, fehlgeschlagenes
Modul winamp.exe, Version 5.5.8.2985, Fehleradresse 0x0003fa19.

Error - 06.06.2011 14:28:13 | Computer Name = SARAH-095F2E258 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung winamp.exe, Version 5.5.8.2985, fehlgeschlagenes
Modul winamp.exe, Version 5.5.8.2985, Fehleradresse 0x0003fa19.

[ System Events ]
Error - 31.07.2011 05:52:23 | Computer Name = SARAH-095F2E258 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 31.07.2011 05:56:12 | Computer Name = SARAH-095F2E258 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 31.07.2011 05:56:12 | Computer Name = SARAH-095F2E258 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 31.07.2011 05:56:31 | Computer Name = SARAH-095F2E258 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 31.07.2011 05:56:31 | Computer Name = SARAH-095F2E258 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 31.07.2011 06:23:26 | Computer Name = SARAH-095F2E258 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Google Update Service (gupdate)" wurde aufgrund folgenden
Fehlers nicht gestartet: %%3

Error - 31.07.2011 07:09:31 | Computer Name = SARAH-095F2E258 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Google Update Service (gupdate)" wurde aufgrund folgenden
Fehlers nicht gestartet: %%3

Error - 31.07.2011 13:16:00 | Computer Name = SARAH-095F2E258 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Google Update Service (gupdate)" wurde aufgrund folgenden
Fehlers nicht gestartet: %%3

Error - 31.07.2011 14:16:19 | Computer Name = SARAH-095F2E258 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Google Update Service (gupdate)" wurde aufgrund folgenden
Fehlers nicht gestartet: %%3

Error - 31.07.2011 17:23:46 | Computer Name = SARAH-095F2E258 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Google Update Service (gupdate)" wurde aufgrund folgenden
Fehlers nicht gestartet: %%3


< End of report >

und Gmer:

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 00:13:56
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 TOSHIBA_ rev.DL23
Running: 240qz82b.exe; Driver: C:\DOKUME~1\Sarah\LOKALE~1\Temp\kxlyipog.sys


---- System - GMER 1.0.15 ----

SSDT ED2AB904 ZwClose
SSDT ED2AB8BE ZwCreateKey
SSDT ED2AB90E ZwCreateSection
SSDT ED2AB8B4 ZwCreateThread
SSDT ED2AB8C3 ZwDeleteKey
SSDT ED2AB8CD ZwDeleteValueKey
SSDT ED2AB8FF ZwDuplicateObject
SSDT ED2AB8D2 ZwLoadKey
SSDT ED2AB8A0 ZwOpenProcess
SSDT ED2AB8A5 ZwOpenThread
SSDT ED2AB8DC ZwReplaceKey
SSDT ED2AB8D7 ZwRestoreKey
SSDT ED2AB913 ZwSetContextThread
SSDT ED2AB8C8 ZwSetValueKey
SSDT ED2AB8AF ZwTerminateProcess

---- EOF - GMER 1.0.15 ----


Wie nun weiter vorgehen?
Nur `Zugriff verweigern` reicht doch nich, oder!?

Nächtliche Grüße

Ett Lina

Alt 01.08.2011, 10:56   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyeyes.kpf - Standard

Spyeyes.kpf



Zitat:
In der Datei 'C:\Recycle.Bin\B6232F3A815.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.kpf' [trojan] gefunden.
Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.
__________________

__________________

Alt 01.08.2011, 20:07   #3
Linaaahh
 
Spyeyes.kpf - Standard

Spyeyes.kpf



Nabend Arne,

da hast Du sicherlich nicht unrecht, ich hab mein Bankingverhalten momentan auch angepasst und gehe zur Sparkasse hin. So selbst, zu Fuß und in echt

Ein Neuaufsetzen des Systems ist für mich leider mit erheblichen Umständen verbunden...

By the way:

avira:

Die Datei 'C:\System Volume Information\_restore{5749A7EB-4F54-4DC6-A7A6-049505F9DA56}\RP267\A0038436.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.kpf' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3c5dce.qua' verschoben!

Das Viech hopst also lustig von a nach b...

Zu Hülf...
__________________

Alt 02.08.2011, 09:34   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyeyes.kpf - Standard

Spyeyes.kpf



Zitat:
Ein Neuaufsetzen des Systems ist für mich leider mit erheblichen Umständen verbunden...
Damnn solltest du aber nie wieder mit diesem System irgendwelche kritischen Dinge wie Onlinebanking mehr tun. Oder ist dir das nicht klar?
Was ist an einer Neuinstallation denn so schlimm?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.08.2011, 15:48   #5
Linaaahh
 
Spyeyes.kpf - Standard

Spyeyes.kpf



Hi,

ich habe diesen meinen Laptop damals mit Vista gekauft.
Da das tatsächlich teilweise nicht mit meiner Hardware vereinbar war (unfassbar) und eh zu langsam (halt Laptop) hab ich jemanden gefragt, der sich damit auskennt.
Nun hab ich XP drauf, läuft super, ich kann Kamera und Drucker nutzen wie es sein soll, aber der Herr, der sich damit auskennt macht mich schlicht nen Kopf kürzer wenn ich ankomm und sach:
Hömma, krank. Machste neu?
Klingt lustig, isses aber nich... Das war echtn Akt mit der XP Sache...

Und der Avast hat auch nochmal was gefunden. HMPFH.

Sind wir ehrlich unheilbar???


Alt 03.08.2011, 16:00   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spyeyes.kpf - Standard

Spyeyes.kpf



Zitat:
Hömma, krank. Machste neu?
Klingt lustig, isses aber nich... Das war echtn Akt mit der XP Sache...
Ja schön blöd wenn man es versäumt, rechtzeitig ein Image vom System zu machen. Oder hat der Computermensch von dir vllt sogar eins erstellt? Frag ihn mal.

Zitat:
Sind wir ehrlich unheilbar???
SpyEyes ist ein fieser Datenklauer - er zeichnet Tastenanschläge auf und kann somit an alle Passwörter (und eben alles andere was man über die Tastatur eintippt) kommen, die du an diesem Rechner eintippst.
__________________
--> Spyeyes.kpf

Antwort

Themen zu Spyeyes.kpf
0x00000001, ablauf, alternate, antivir, audiograbber, bho, cdburnerxp, converter, desktop, ebanking, einstellungen, error, excel, explorer, firefox, flash player, fontcache, format, google, google earth, logfile, microsoft office word, mozilla thunderbird, programm, prozess, realtek, recycle.bin, registry, rundll, scan, security, shell32.dll, software, svchost, trojan, virus, wlan



Ähnliche Themen: Spyeyes.kpf


  1. Trojan.Spyeyes gefunden
    Log-Analyse und Auswertung - 09.09.2011 (10)
  2. Tojan.SpyEyes.R
    Plagegeister aller Art und deren Bekämpfung - 25.08.2011 (5)
  3. TR/Jorik.SpyEyes.In und odbcasvc.EXE
    Log-Analyse und Auswertung - 12.07.2011 (9)
  4. TR/Spy.SpyEyes.ide
    Log-Analyse und Auswertung - 21.06.2011 (1)
  5. TR/Spy.SpyEyes.ide gefunden
    Plagegeister aller Art und deren Bekämpfung - 15.06.2011 (34)
  6. Trojaner-Befall SpyEyes und Obfuscate
    Log-Analyse und Auswertung - 30.05.2011 (3)
  7. SpyEyes- was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 23.05.2011 (12)
  8. TR/Jorik.SpyEyes.In
    Log-Analyse und Auswertung - 14.05.2011 (1)
  9. Trojaner Spyeyes eingefangen?
    Log-Analyse und Auswertung - 01.05.2011 (3)
  10. Virus 'Spy.SpyEyes.SC1' gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (14)
  11. TR/Spy.SpyEyes.gps von AntiVir gefunden
    Log-Analyse und Auswertung - 28.04.2011 (24)
  12. Virus 'Spy.SpyEyes.SC1'
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (3)
  13. SpyEyes sdjfdskpogf.exe
    Plagegeister aller Art und deren Bekämpfung - 28.03.2011 (11)
  14. PUP.Dealio und Spyware.spyeyes
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (21)
  15. Trojaner Spyeyes in Registryeintrag
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (13)
  16. C:\extensions.exe (Spyware.SpyEyes) -> No action taken.
    Log-Analyse und Auswertung - 09.08.2010 (1)

Zum Thema Spyeyes.kpf - Nabend Ihr hilfreichen Geister, ich hab mich vorgestern bei meinem onlinebanking einloggen wollen, da ging dann ein fremdes Fenster auf, was mich aufforderte mehrere Tans einzugeben. Nachtigall, ick hör Dir - Spyeyes.kpf...
Archiv
Du betrachtest: Spyeyes.kpf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.