Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Roter Bildschirm "System blockiert"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.09.2011, 01:19   #1
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Hallo liebe Community,

es geht um eine Malware, die (nur bei Internetverbindung) einen roten Screen über alles legt, mit einem Windows-Style-Fenster mit der Schrift:

"Achtung! Aus Sicherheitsgründen wurde ihr Windows System blockiert.
Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten
ist das Computersystem an eine kritische Grenze angekommen,
nach der das System zusammenbrechen und die ganzen Daten verloren gehen könnten.
Um das System wieder herstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen.
Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme.
Es schützt das System vollständig von Virus und Schadprogrammen, stabilisiert ihr Computersystem und verhindert den Datenverlust."

Der Button ist beschriftet mit "Bezahlen und runterladen".

Der Computer eines Freundes war damit befallen, er war heute hier und ich habe dort die Datei svghost.exe entdeckt in einem Unterordner von Identities. Nach Entfernen der Datei und des entsprechenden Autostart-Eintrages lief alles wieder okay.

Ich habe hier zwei weitere Einträge gesehen von Leuten mit der gleichen Malware, bei der die Betroffenen aber nicht mehr auf die Hilfe reagiert haben.

Zum einen möchte ich anbieten, die Datei hochzuladen und den Downloadlink per PN zu schicken, damit Ihr sie analysieren könnt.

Zum anderen, vielleicht ginge ein Feedback, ob Ihr bei Eurer Analyse sehen könnt, ob ich da jetzt mit einem Backdoor rechnen muss? Und den Freund also doch noch Neuaufsetzen lassen muss, oder ob dieses Programm eben nichts nachlädt und ich ihm Entwarnung geben kann.

Mein Eindruck war, dass das Teil ziemlich harmlos ist. Virustotal hat auch nirgends "BD" in den Bezeichnungen stehen gehabt und obwohl es in einem Konto mit Administratorrechner ausgeführt war, waren die anderen Benutzerkonten nicht befallen. Also danke für eine Bescheidgabe, falls ich es unterschätze.

Liebe Grüße

Alt 02.09.2011, 05:45   #2
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles, die Du posten möchtest)[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
gruß
kira
__________________

__________________

Alt 02.09.2011, 12:59   #3
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Hallo Kira,

danke für Deine Antwort.

Wie gesagt, ich habe den befallenen Rechner nicht hier. Ich konnte ein Hijackthislog und -Fix machen und einen OTL-Quick-Scan, dann musste der betroffenen Freund wieder weg samt Laptop. Nach Entfernen der svghost.exe war das Symptom weg. Ich habe sie jetzt hier auf einem Stick.

Vor einer guten Woche hatte ihm ein anderer Freund versucht zu helfen; dieser hat von Stick gebootet, Avira Antivir von CD durchlaufen lassen und auch Malwarebytes Anti-Malware durchlaufen lassen ohne auffällige Funde. (Seit der neuen Signatur vom 25.08. erkennt Antivir jetzt aber das Teil)

Soll ich jetzt die beiden oberflächlichen Logs posten (Hijackthis und OTL-Quickscan) oder Dir die svghost schicken?

Ich hatte gehofft, Ihr Spezialisten könntet anhand der Datei erkennen, ob es ein harmloses Standalone-Progrämmchen war oder mit einer Backdoor zusammenhängt. Meinem Eindruck nach hat es nicht mehr gemacht, als den roten Bildschirm auszuspucken. Mehr Symptom als ernsthafte Krankheit.

Ich selbst habe aber nur Sandboxie und traue mich nicht, es da rein zu stecken. Wozu auch, ich habe kein Programm, das aufzeichnen kann, was es genau tut oder was für Internetverbindungen aufgebaut werden und habe davon auch keine Ahnung.

Entschuldige, dass mir der Laptop für den normalen Routine-Gesamtputz nicht zur Verfügung steht, ich hoffe, Du kannst mir trotzdem ein Feedback geben.

Liebe Grüße

EDIT: Es kann ja nicht schaden zu posten, was ich an Logs habe:

Hijackthis vorm Fixen:

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:02:33, on 01.09.2011
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3311)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\LogMeIn\x86\RaMaint.exe
C:\Programme\LogMeIn\x86\LogMeIn.exe
C:\Programme\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities\{5A4546EB-1C8E-11DD-8E4E-806D6172696F}\svghost.exe
C:\WINDOWS\system32\wuauclt.exe
H:\haidschk.com.exe
C:\WINDOWS\system32\wbem\unsecapp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKCU\..\Run: [{5A4546EB-1C8E-11DD-8E4E-806D6172696F}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities\{5A4546EB-1C8E-11DD-8E4E-806D6172696F}\svghost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-854245398-1682526488-725345543-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: tinc.kanzownet - Unknown owner - C:\Programme\tinc\tincd (file missing)
O23 - Service: TunngleService - Unknown owner - C:\Programme\Tunngle\TnglCtrl.exe (file missing)

--
End of file - 5484 bytes
         
--- --- ---


tinc.kanzownet ist dabei ein privates Netzwerk, das er sich mit einem Freund eingerichtet hat.

OTL-Quickscan:

1. Extras.txt

OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 02.09.2011 00:38:21 - Run 1
OTL by OldTimer - Version 3.2.26.6     Folder = H:\
Windows XP Professional Edition Service Pack 3, v.3311 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.3311)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,65 Gb Available Physical Memory | 82,78% Memory free
5,85 Gb Paging File | 5,67 Gb Available in Paging File | 96,99% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 51,39 Gb Total Space | 3,39 Gb Free Space | 6,60% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 8,54 Gb Free Space | 17,50% Space Free | Partition Type: NTFS
Drive E: | 48,83 Gb Total Space | 2,25 Gb Free Space | 4,62% Space Free | Partition Type: NTFS
Drive H: | 1,89 Gb Total Space | 1,89 Gb Free Space | 99,92% Space Free | Partition Type: FAT
 
Computer Name: FRED | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1"
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1"
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1"
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"57258:TCP" = 57258:TCP:*:Enabled:Pando Media Booster
"57258:UDP" = 57258:UDP:*:Enabled:Pando Media Booster
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"655:TCP" = 655:TCP:*:Enabled:tinc
"57258:TCP" = 57258:TCP:*:Disabled:Pando Media Booster
"57258:UDP" = 57258:UDP:*:Disabled:Pando Media Booster
"8396:TCP" = 8396:TCP:*:Enabled:League of Legends Launcher
"8396:UDP" = 8396:UDP:*:Enabled:League of Legends Launcher
"6885:TCP" = 6885:TCP:*:Enabled:League of Legends Launcher
"6885:UDP" = 6885:UDP:*:Enabled:League of Legends Launcher
"6927:TCP" = 6927:TCP:*:Enabled:League of Legends Launcher
"6927:UDP" = 6927:UDP:*:Enabled:League of Legends Launcher
"6881:TCP" = 6881:TCP:*:Enabled:League of Legends Launcher
"6881:UDP" = 6881:UDP:*:Enabled:League of Legends Launcher
"8397:TCP" = 8397:TCP:*:Enabled:League of Legends Launcher
"8397:UDP" = 8397:UDP:*:Enabled:League of Legends Launcher
"6994:TCP" = 6994:TCP:*:Enabled:League of Legends Launcher
"6994:UDP" = 6994:UDP:*:Enabled:League of Legends Launcher
"6902:TCP" = 6902:TCP:*:Enabled:League of Legends Launcher
"6902:UDP" = 6902:UDP:*:Enabled:League of Legends Launcher
"6906:TCP" = 6906:TCP:*:Enabled:League of Legends Launcher
"6906:UDP" = 6906:UDP:*:Enabled:League of Legends Launcher
"6963:TCP" = 6963:TCP:*:Enabled:League of Legends Launcher
"6963:UDP" = 6963:UDP:*:Enabled:League of Legends Launcher
"8398:TCP" = 8398:TCP:*:Enabled:League of Legends Launcher
"8398:UDP" = 8398:UDP:*:Enabled:League of Legends Launcher
"8393:TCP" = 8393:TCP:*:Enabled:League of Legends Lobby
"8393:UDP" = 8393:UDP:*:Enabled:League of Legends Lobby
"8390:TCP" = 8390:TCP:*:Enabled:League of Legends Game Client
"8390:UDP" = 8390:UDP:*:Enabled:League of Legends Game Client
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\Steam\steamapps\***\team fortress 2\hl2.exe" = E:\Steam\steamapps\***\team fortress 2\hl2.exe:*:Enabled:hl2 -- ()
"E:\Steam\steamapps\***\source sdk base\hl2.exe" = E:\Steam\steamapps\***\source sdk base\hl2.exe:*:Enabled:hl2 -- ()
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- ()
"E:\Steam\steamapps\***\insurgency\hl2.exe" = E:\Steam\steamapps\***\insurgency\hl2.exe:*:Enabled:hl2 -- ()
"E:\Steam\steamapps\***\diprip warm up\hl2.exe" = E:\Steam\steamapps\***\diprip warm up\hl2.exe:*:Enabled:hl2 -- ()
"E:\Minigames\World of Padman\wop.exe" = E:\Minigames\World of Padman\wop.exe:*:Enabled:wop
"C:\Programme\Hamachi\hamachi.exe" = C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi Client -- (LogMeIn Inc.)
"D:\spiele\MotoGP2\motogp2.exe" = D:\spiele\MotoGP2\motogp2.exe:*:Disabled:motogp2
"C:\Programme\tinc\tincd.exe" = C:\Programme\tinc\tincd.exe:*:Enabled:tincd.exe -- ()
"E:\Steam\steamapps\common\world of goo demo\WorldOfGoo.exe" = E:\Steam\steamapps\common\world of goo demo\WorldOfGoo.exe:*:Enabled:World of Goo Demo -- ()
"E:\Steam\Steam.exe" = E:\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"E:\Minigames\Table Tennis Pro V2 Lite\TTPro_DX9.exe" = E:\Minigames\Table Tennis Pro V2 Lite\TTPro_DX9.exe:*:Enabled:TTPro_DX9 -- ()
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"E:\Steam\steamapps\common\coil\coil.exe" = E:\Steam\steamapps\common\coil\coil.exe:*:Enabled:Coil -- (The Design Assembly GmbH)
"C:\WINDOWS\system32\ftp.exe" = C:\WINDOWS\system32\ftp.exe:*:Enabled:Programm zur Dateiübertragung -- (Microsoft Corporation)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:enable -- (Microsoft Corporation)
"D:\spiele\Borderlands\Gearbox Software\Borderlands\Binaries\Borderlands.exe" = D:\spiele\Borderlands\Gearbox Software\Borderlands\Binaries\Borderlands.exe:*:Disabled:Borderlands
"E:\Steam\steamapps\common\peggle extreme\PeggleExtreme.exe" = E:\Steam\steamapps\common\peggle extreme\PeggleExtreme.exe:*:Disabled:Peggle Extreme -- ()
"E:\Steam\steamapps\buerokratenhuber\source sdk base 2007\hl2.exe" = E:\Steam\steamapps\buerokratenhuber\source sdk base 2007\hl2.exe:*:Enabled:Source SDK Base 2007 -- ()
"E:\Steam\steamapps\common\operation flashpoint dragon rising\OFDR.exe" = E:\Steam\steamapps\common\operation flashpoint dragon rising\OFDR.exe:*:Enabled:Operation Flashpoint: Dragon Rising
"D:\spiele\Campany of Heros\RelicCOH.exe" = D:\spiele\Campany of Heros\RelicCOH.exe:*:Enabled:RelicCOH -- (THQ Canada Inc.)
"E:\Steam\steamapps\common\osmos\osmos.exe" = E:\Steam\steamapps\common\osmos\osmos.exe:*:Enabled:Osmos -- (Hemisphere Games, Inc.)
"E:\Minigames\bb\BubBob.exe" = E:\Minigames\bb\BubBob.exe:*:Disabled:BubBob -- ()
"E:\Steam\steamapps\common\everyday shooter\EverydayShooter.exe" = E:\Steam\steamapps\common\everyday shooter\EverydayShooter.exe:*:Enabled:Everyday Shooter -- ()
"E:\Steam\steamapps\common\guns of icarus\GunsOfIcarusWindows.exe" = E:\Steam\steamapps\common\guns of icarus\GunsOfIcarusWindows.exe:*:Enabled:Guns of Icarus -- ()
"D:\spiele\Campany of Heros\RelicDownloader\RelicDownloader.exe" = D:\spiele\Campany of Heros\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader -- (THQ Canada Inc.)
"E:\Steam\steamapps\common\gratuitous space battles\GSB.exe" = E:\Steam\steamapps\common\gratuitous space battles\GSB.exe:*:Enabled:Gratuitous Space Battles -- ()
"D:\spiele\LOL\air\LolClient.exe" = D:\spiele\LOL\air\LolClient.exe:*:Enabled:League of Legends Lobby
"D:\spiele\LOL\game\League of Legends.exe" = D:\spiele\LOL\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"D:\spiele\LOL\lol.launcher.exe" = D:\spiele\LOL\lol.launcher.exe:*:Enabled:League of Legends Launcher -- ()
"E:\Steam\steamapps\common\trackmania united\TmForever.exe" = E:\Steam\steamapps\common\trackmania united\TmForever.exe:*:Enabled:TrackMania United -- ()
"E:\Steam\steamapps\common\trackmania united\TmForeverLauncher.exe" = E:\Steam\steamapps\common\trackmania united\TmForeverLauncher.exe:*:Enabled:TrackMania United -- ()
"E:\Steam\steamapps\common\osmos igf demo\OsmosDemo.exe" = E:\Steam\steamapps\common\osmos igf demo\OsmosDemo.exe:*:Disabled:Osmos IGF Demo -- ()
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Disabled:Pando Media Booster -- ()
"H:\Installierte\Portal2\Portal 2\portal2.exe" = H:\Installierte\Portal2\Portal 2\portal2.exe:*:Enabled:portal2
"E:\Steam\steamapps\common\dogfighter\bin\x86_vc8\DogFighterSteam.exe" = E:\Steam\steamapps\common\dogfighter\bin\x86_vc8\DogFighterSteam.exe:*:Enabled:DogFighter -- (Instinct Technology Limited)
"E:\Steam\steamapps\***\counter-strike source\hl2.exe" = E:\Steam\steamapps\***\counter-strike source\hl2.exe:*:Enabled:Counter-Strike: Source
"E:\Steam\steamapps\common\lead and gold gangs of the wild west\lag_win32_public_dev.exe" = E:\Steam\steamapps\common\lead and gold gangs of the wild west\lag_win32_public_dev.exe:*:Enabled:Lead and Gold - Gangs of the Wild West -- ()
"E:\Steam\steamapps\common\audiosurf\engine\QuestViewer.exe" = E:\Steam\steamapps\common\audiosurf\engine\QuestViewer.exe:*:Enabled:Audiosurf Demo -- ()
"E:\Steam\steamapps\common\plain sight\PlainSight.exe" = E:\Steam\steamapps\common\plain sight\PlainSight.exe:*:Enabled:Plain Sight -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0C973594-7DDF-4BD0-84ED-3517F7622037}" = PC Connectivity Solution
"{14574B7F-75D1-4718-B7F2-EBF6E2862A35}" = Company of Heroes - FAKEMSI
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{199E6632-EB28-4F73-AECB-3E192EB92D18}" = Company of Heroes - FAKEMSI
"{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}" = Microsoft XNA Framework Redistributable 3.1
"{1A3E23D7-7A1E-43EC-B35D-EB2A31BED943}" = Video DVD Maker v3.15.0.31
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{25724802-CC14-4B90-9F3B-3D6955EE27B1}" = Company of Heroes - FAKEMSI
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 14
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2E1A71D5-7897-4F3F-B0E3-B412C86A646D}" = Need for Speed™ ProStreet
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D}" = Company of Heroes - FAKEMSI
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35C0A1E4-D02A-412C-841F-266DBB116ABB}" = Intel(R) PROSet/Wireless WiFi-Software
"{49CC1A6A-3A1A-4EE7-913F-8106B51B59D1}" = Paragon Partition Manager 8.5 Professional
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{50193078-F553-4EBA-AA77-64C9FAA12F98}" = Company of Heroes - FAKEMSI
"{51D718D1-DA81-4FAD-919F-5C1CE3C33379}" = Company of Heroes - FAKEMSI
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{59F6A514-9813-47A3-948C-8A155460CC2A}" = RICOH R5C83x/84x Flash Media Controller Driver Ver.3.52.02
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5F05C28D-DEA9-4AD6-A73A-064175988EAB}" = Search Settings v1.2.3
"{63A14955-DC18-49CA-9CE6-9229D0C1868D}" = LogMeIn
"{66F78C51-D108-4F0C-A93C-1CBE74CE338F}" = Company of Heroes - FAKEMSI
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3}" = Company of Heroes - FAKEMSI
"{80D03817-7943-4839-8E96-B9F924C5E67D}" = Company of Heroes - FAKEMSI
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{97E5205F-EA4F-438F-B211-F1846419F1C1}" = Company of Heroes - FAKEMSI
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{99A7722D-9ACB-43F3-A222-ABC7133F159E}" = Company of Heroes - FAKEMSI
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A5181519-9F3D-4372-ABC6-C333C2F3A816}_is1" = RunAlyzer
"{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BA801B94-C28D-46EE-B806-E1E021A3D519}" = Company of Heroes - FAKEMSI
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{D4D244D1-05E0-4D24-86A2-B2433C435671}" = Company of Heroes - FAKEMSI
"{D56B0E27-4A3E-46C9-B5C1-D93D580C099C}" = NVIDIA PhysX v8.10.29
"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.13
"{EAF636A9-F664-4703-A659-85A894DA264F}" = Company of Heroes - FAKEMSI
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"AHL2" = AHL2 v1.0
"Any Video Converter_is1" = Any Video Converter 2.6.1
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.6 (Unicode)
"Company of Heroes" = Company of Heroes
"CPUCooL" = CPUCooL (remove only)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Dyson_is1" = Dyson v1.08
"FairStars CD Ripper_is1" = FairStars CD Ripper 1.27
"FileZilla" = FileZilla (remove only)
"foobar2000" = foobar2000 v1.1.7
"Fraps" = Fraps
"Free Video Converter_is1" = Free Video Converter V 2.7
"Hamachi" = Hamachi 1.0.1.5
"InstallShield_{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"IrfanView" = IrfanView (remove only)
"LAME for Audacity_is1" = LAME v3.98.3 for Audacity
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)
"MPE" = MyPhoneExplorer
"Network Stumbler" = Network Stumbler 0.4.0 (remove only)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"Postal 2_is1" = Portal 2
"ProInst" = Intel PROSet Wireless
"SopCast" = SopCast 3.0.3
"Steam App 12830" = Operation Flashpoint: Dragon Rising
"Steam App 12900" = Audiosurf
"Steam App 16300" = Everyday Shooter
"Steam App 17700" = Insurgency
"Steam App 215" = Source SDK Base
"Steam App 218" = Source SDK Base - Orange Box
"Steam App 220" = Half-Life 2
"Steam App 22010" = World of Goo Demo
"Steam App 240" = Counter-Strike: Source
"Steam App 29100" = Osmos IGF Demo
"Steam App 29180" = Osmos
"Steam App 31500" = Coil
"Steam App 3483" = Peggle Extreme
"Steam App 400" = Portal
"Steam App 41800" = Gratuitous Space Battles
"Steam App 42120" = Lead and Gold - Gangs of the Wild West
"Steam App 42500" = DogFighter
"Steam App 440" = Team Fortress 2
"Steam App 49800" = Guns of Icarus
"Steam App 49900" = Plain Sight
"Steam App 55000" = Flotilla
"Steam App 7200" = TrackMania United
"Streamripper" = Streamripper (Remove only)
"SystemRequirementsLab" = System Requirements Lab
"Table Tennis Pro V2 Lite_is1" = Table Tennis Pro V2 Lite (V2.32)
"tinc" = Tinc 1.0.9
"VLC media player" = VLC media player 1.0.1
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Winamp" = Winamp (nur entfernen)
"WinRAR archiver" = WinRAR
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"UnityWebPlayer" = Unity Web Player
"uTorrent" = µTorrent
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 09.11.2009 12:28:53 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 09.11.2009 12:35:18 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 09.11.2009 12:35:51 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 09.11.2009 12:40:53 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 09.11.2009 12:40:53 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 09.11.2009 12:41:49 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 09.11.2009 12:42:04 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 15.11.2009 16:44:01 | Computer Name = FRED | Source = TnglCtrl.exe | ID = 0
Description = 
 
Error - 01.12.2009 10:46:48 | Computer Name = FRED | Source = MsiInstaller | ID = 11722
Description = Produkt: Borderlands -- Fehler 1722. Es liegt ein dieses Windows Installer-Paket
 betreffendes Problem vor. Ein Programm, das im Rahmen der Installation ausgeführt
 wurde, wurde nicht erfolgreich abgeschlossen. Wenden Sie sich an das Supportpersonal
 oder den Hersteller des Pakets. Aktion: RCDecrypt57, Pfad: D:\spiele\Borderlands\Gearbox
 Software\Borderlands\Binaries\SetupHelper.exe, Befehl: "D:\spiele\Borderlands\Gearbox
 Software\Borderlands\" -decr -installge -allusers 
 
Error - 08.02.2010 18:52:21 | Computer Name = FRED | Source = MsiInstaller | ID = 11704
Description = Produkt: Microsoft .NET Framework 2.0 Service Pack 2 -- Error 1704.Eine
 Installation von Microsoft .NET Framework 3.0 Service Pack 2 ist im Augenblick 
unterbrochen. Sie müssen die von dieser Installation vorgenommenen Änderungen rückgängig
 machen, bevor Sie den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig
 machen?
 
[ System Events ]
Error - 01.09.2011 18:10:07 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:29:51 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
 SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Startberechtigung (Lokal)
 für die COM-Serveranwendung mit CLSID   {DCBCA92E-7DBE-4EDA-8B7B-3AAEA4DD412B}   gewährt.
 Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:30:01 | Computer Name = FRED | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Lbd
 
Error - 01.09.2011 18:30:18 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:30:18 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:30:19 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:34:20 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
 SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Startberechtigung (Lokal)
 für die COM-Serveranwendung mit CLSID   {DCBCA92E-7DBE-4EDA-8B7B-3AAEA4DD412B}   gewährt.
 Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:34:28 | Computer Name = FRED | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Lbd
 
Error - 01.09.2011 18:34:56 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 01.09.2011 18:34:56 | Computer Name = FRED | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
 
< End of report >
         
--- --- ---


2. OTL.txt:

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 02.09.2011 00:38:21 - Run 1
OTL by OldTimer - Version 3.2.26.6     Folder = H:\
Windows XP Professional Edition Service Pack 3, v.3311 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.3311)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,65 Gb Available Physical Memory | 82,78% Memory free
5,85 Gb Paging File | 5,67 Gb Available in Paging File | 96,99% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 51,39 Gb Total Space | 3,39 Gb Free Space | 6,60% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 8,54 Gb Free Space | 17,50% Space Free | Partition Type: NTFS
Drive E: | 48,83 Gb Total Space | 2,25 Gb Free Space | 4,62% Space Free | Partition Type: NTFS
Drive H: | 1,89 Gb Total Space | 1,89 Gb Free Space | 99,92% Space Free | Partition Type: FAT
 
Computer Name: FRED | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.08.30 13:53:06 | 000,580,096 | ---- | M] (OldTimer Tools) -- H:\OTL.exe
PRC - [2008.11.11 00:12:14 | 000,116,032 | ---- | M] (LogMeIn, Inc.) -- C:\Programme\LogMeIn\x86\ramaint.exe
PRC - [2008.11.11 00:12:05 | 000,087,360 | ---- | M] (LogMeIn, Inc.) -- C:\Programme\LogMeIn\x86\LMIGuardian.exe
PRC - [2008.10.16 18:14:56 | 001,368,064 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
PRC - [2008.10.16 17:55:42 | 001,191,936 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
PRC - [2008.04.14 04:22:44 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.02.28 15:31:50 | 000,063,040 | ---- | M] (LogMeIn, Inc.) -- C:\Programme\LogMeIn\x86\LogMeIn.exe
PRC - [2007.07.31 18:22:58 | 000,118,784 | ---- | M] () -- C:\Programme\CPUCooL\CooLSRV.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2007.09.20 18:34:58 | 000,129,024 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2007.07.31 18:22:58 | 000,118,784 | ---- | M] () -- C:\Programme\CPUCooL\CooLSRV.exe
MOD - [2007.06.20 12:21:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (TunngleService)
SRV - [2009.09.06 12:38:06 | 000,071,096 | ---- | M] () [Disabled | Stopped] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2009.06.02 10:10:08 | 000,637,952 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2008.12.26 14:19:49 | 001,947,879 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\tinc\tincd.exe -- (tinc.kanzownet)
SRV - [2008.11.11 00:12:14 | 000,116,032 | ---- | M] (LogMeIn, Inc.) [Auto | Running] -- C:\Programme\LogMeIn\x86\RaMaint.exe -- (LMIMaint)
SRV - [2008.10.16 18:26:20 | 000,860,160 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Intel\WiFi\bin\EvtEng.exe -- (EvtEng)
SRV - [2008.10.16 18:05:38 | 000,905,216 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe -- (S24EventMonitor)
SRV - [2008.10.16 17:54:34 | 000,466,944 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc)
SRV - [2008.02.28 15:31:50 | 000,063,040 | ---- | M] (LogMeIn, Inc.) [Auto | Running] -- C:\Programme\LogMeIn\x86\LogMeIn.exe -- (LogMeIn)
SRV - [2007.07.31 18:22:58 | 000,118,784 | ---- | M] () [Auto | Running] -- C:\Programme\CPUCooL\CooLSRV.exe -- (CPUCooLServer)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.05.31 16:13:01 | 000,137,344 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hwpsgt.sys -- (hwpsgt)
DRV - [2010.05.31 16:13:00 | 000,009,472 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lemsgt.sys -- (lemsgt)
DRV - [2009.09.28 20:57:28 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.09.17 16:59:38 | 000,017,480 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2008.12.26 12:41:12 | 000,025,088 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0901.sys -- (tap0901)
DRV - [2008.11.17 08:23:16 | 003,636,864 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) Intel(R)
DRV - [2008.11.13 03:17:13 | 000,278,984 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2008.11.11 00:12:07 | 000,083,288 | ---- | M] (LogMeIn, Inc.) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\LMIRfsClientNP.dll -- (LMIRfsClientNP)
DRV - [2008.11.11 00:12:07 | 000,047,640 | ---- | M] (LogMeIn, Inc.) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\LMIRfsDriver.sys -- (LMIRfsDriver)
DRV - [2008.08.25 23:16:17 | 000,018,048 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2008.08.13 17:23:56 | 000,011,904 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2008.05.07 19:04:56 | 000,685,816 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2008.02.28 15:31:52 | 000,012,856 | ---- | M] (LogMeIn, Inc.) [Kernel | Auto | Running] -- C:\Programme\LogMeIn\x86\rainfo.sys -- (LMIInfo)
DRV - [2008.02.12 03:16:54 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2007.11.17 16:24:38 | 000,011,392 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\ntiomin.sys -- (ntiomin)
DRV - [2007.08.10 13:52:44 | 004,603,904 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.08.08 20:42:08 | 000,045,568 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2007.07.30 10:42:58 | 000,043,008 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2007.06.21 04:43:26 | 002,208,512 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETw4x32.sys -- (NETw4x32) Intel(R)
DRV - [2007.05.31 15:19:22 | 000,096,896 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007.03.07 13:27:26 | 000,038,448 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3)
DRV - [2007.02.12 21:26:30 | 000,012,800 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\ntiopnp.sys -- (ntiopnp)
DRV - [2006.11.17 16:57:34 | 000,210,224 | ---- | M] (Silicon Image, Inc) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Si3531.sys -- (Si3531)
DRV - [2006.10.18 14:20:00 | 000,005,504 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SiRemFil.sys -- (SiRemFil)
DRV - [2006.06.29 13:13:08 | 001,160,320 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2004.11.11 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004.11.11 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004.11.01 11:21:00 | 000,010,368 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys -- (SiFilter)
DRV - [2004.03.24 04:12:34 | 000,017,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\nsndis5.sys -- (NSNDIS5)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.goggle.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.9
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6.5
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.8
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.7
FF - prefs.js..extensions.enabledItems: firegestures@xuldev.org:1.6.5
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.15.1
FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.6
FF - prefs.js..network.proxy.no_proxies_on: ""
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.0.1: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\Benjamino\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.09.01 22:35:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.07.03 21:02:04 | 000,000,000 | ---D | M]
 
[2008.07.02 13:17:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2011.09.01 23:19:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions
[2010.10.19 02:58:08 | 000,000,000 | ---D | M] ("ColorfulTabs") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
[2011.07.20 22:01:56 | 000,000,000 | ---D | M] (Flashblock) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2009.09.28 19:44:14 | 000,000,000 | ---D | M] (Phoenity Modern) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{8181B740-5255-11D9-9FF6-0090995D2DCA}
[2011.07.04 23:46:36 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.04.11 01:57:21 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2011.05.11 00:08:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{dc572301-7619-498c-a57d-39143191b318}
[2011.06.19 01:45:19 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2011.06.27 23:07:35 | 000,000,000 | ---D | M] (FireGestures) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\firegestures@xuldev.org
[2011.05.11 00:08:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\extensions\{dc572301-7619-498c-a57d-39143191b318}\modules\extensions
[2008.06.30 04:00:16 | 000,001,244 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dv0tu57l.default\searchplugins\scroogle-ssl-german.xml
[2011.08.25 18:56:06 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.04.11 02:00:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.04.11 02:00:58 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.04.11 02:00:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.04.11 02:00:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.04.11 02:00:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.08.25 19:00:10 | 000,000,822 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  File not found
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} -  File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} -  File not found
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -  File not found
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe (Intel(R) Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe (Intel(R) Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = B1 00 00 00  [binary data]
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LMIinit: DllName - LMIinit.dll - C:\WINDOWS\System32\LMIinit.dll (LogMeIn, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2008.05.07 23:54:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{5d682d99-2a74-11de-a2fa-e5263fb947cf}\Shell - "" = AutoRun
O33 - MountPoints2\{5d682d99-2a74-11de-a2fa-e5263fb947cf}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5d682d99-2a74-11de-a2fa-e5263fb947cf}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
O33 - MountPoints2\{8248345f-7459-11de-a353-a56f088f18a2}\Shell - "" = AutoRun
O33 - MountPoints2\{8248345f-7459-11de-a353-a56f088f18a2}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8248345f-7459-11de-a353-a56f088f18a2}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.02 00:33:25 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Benjamino\Recent
[2011.08.25 18:55:08 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.08.25 18:34:35 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.02 00:34:37 | 000,070,387 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001
[2011.09.02 00:34:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.09.02 00:34:15 | 2145,542,144 | -HS- | M] () -- C:\hiberfil.sys
[2011.09.02 00:08:18 | 000,000,940 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit {5A4546EB-1C8E-11DD-8E4E-806D6172696F}.lnk
[2011.09.01 23:02:11 | 000,070,387 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2011.09.01 22:50:14 | 000,000,488 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.09.01 22:30:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.08.25 19:00:10 | 000,000,822 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.08.23 21:37:31 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011.08.14 19:03:23 | 000,442,260 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.08.14 19:03:23 | 000,426,404 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.08.14 19:03:23 | 000,078,016 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.08.14 19:03:23 | 000,065,414 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.08.14 19:01:55 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.09.02 00:08:18 | 000,000,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Benjamino\Desktop\Verknüpfung mit {5A4546EB-1C8E-11DD-8E4E-806D6172696F}.lnk
[2011.09.01 22:49:44 | 000,000,488 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.08.23 23:54:00 | 2145,542,144 | -HS- | C] () -- C:\hiberfil.sys
[2011.03.21 21:51:33 | 000,066,872 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2011.03.21 21:51:31 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2011.03.21 21:51:25 | 000,103,736 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2010.06.20 15:41:53 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2010.05.31 16:13:01 | 000,137,344 | ---- | C] () -- C:\WINDOWS\System32\drivers\hwpsgt.sys
[2010.05.31 16:13:00 | 000,009,472 | ---- | C] () -- C:\WINDOWS\System32\drivers\lemsgt.sys
[2010.05.27 12:33:35 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.12.24 00:00:18 | 000,000,039 | ---- | C] () -- C:\WINDOWS\baseinfo.ini
[2009.11.01 21:59:11 | 000,000,217 | ---- | C] () -- C:\WINDOWS\EurekaLog.ini
[2009.10.28 16:54:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\Access.dat
[2009.09.28 13:41:29 | 000,070,387 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2009.09.02 20:04:34 | 000,000,126 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008.12.17 23:01:10 | 000,003,942 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.11.28 00:22:39 | 000,065,384 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2008.10.20 23:45:29 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.10.04 20:06:51 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2008.09.07 12:09:00 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.08.25 23:16:18 | 000,278,984 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2008.08.25 23:16:17 | 000,018,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2008.07.22 18:54:03 | 000,000,291 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2008.07.16 22:37:30 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2008.07.05 01:24:24 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.07.04 21:29:12 | 004,245,008 | ---- | C] () -- C:\WINDOWS\System32\qtp-mt334.dll
[2008.07.04 21:29:12 | 000,247,824 | ---- | C] () -- C:\WINDOWS\System32\prgiso.dll
[2008.07.04 21:29:12 | 000,013,840 | ---- | C] () -- C:\WINDOWS\System32\wnaspi32.dll
[2008.06.23 16:16:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI
[2008.06.05 09:58:26 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.05.26 14:13:20 | 000,000,270 | ---- | C] () -- C:\WINDOWS\game.ini
[2008.05.19 21:47:55 | 000,000,023 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2008.05.08 00:44:51 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.05.08 00:43:45 | 000,096,664 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.05.07 23:56:56 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.05.07 23:51:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.05.07 19:09:51 | 000,009,728 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2008.05.07 18:52:04 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2008.05.07 18:48:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.05.07 18:44:06 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2007.11.17 16:24:38 | 000,011,392 | ---- | C] () -- C:\WINDOWS\System32\drivers\ntiomin.sys
[2007.06.20 12:21:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.06.20 12:21:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2007.06.20 12:21:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.06.20 12:21:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2007.06.20 12:21:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.06.20 12:21:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.06.20 12:21:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2007.06.20 12:21:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2007.02.12 21:26:30 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\ntiopnp.sys
[2004.11.11 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.11.11 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.11.11 14:00:00 | 000,442,260 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.11.11 14:00:00 | 000,426,404 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.11.11 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.11.11 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.11.11 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.11.11 14:00:00 | 000,078,016 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.11.11 14:00:00 | 000,065,414 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.11.11 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.11.11 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.11.11 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.11.11 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.11.11 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.11.11 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.11.11 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2008.11.22 02:13:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2DBoy
[2009.12.23 22:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2008.05.07 19:12:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
[2009.07.19 15:44:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2010.10.13 23:39:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LAG
[2008.05.12 01:43:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogMeIn
[2009.07.19 15:46:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2011.08.07 18:10:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files
[2009.09.28 19:38:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.06.28 14:16:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.05.24 18:39:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
[2010.01.07 14:42:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.10.28 16:53:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tunngle
[2010.01.07 14:42:26 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.06.28 14:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AnvSoft
[2011.02.02 17:24:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Any Video Converter
[2011.05.30 16:22:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Audacity
[2008.11.11 22:59:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Bioshock
[2009.12.23 22:05:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe_Limited
[2008.05.07 19:13:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Pro
[2008.12.18 00:29:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FairStars CD Ripper
[2011.08.15 02:05:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\foobar2000
[2010.06.28 14:26:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FreeVideoConverter
[2011.03.23 02:13:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LolClient
[2010.07.23 00:36:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MyPhoneExplorer
[2009.07.19 15:47:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
[2010.06.29 00:22:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Search Settings
[2008.07.18 14:36:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\streamripper
[2008.06.23 15:45:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Teleca
[2008.05.20 17:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
[2009.11.09 16:49:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tunngle
[2009.09.16 11:41:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent
[2009.06.29 19:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Video DVD Maker FREE
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 72 bytes -> C:\WINDOWS:6C7124B57F2E7E88
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FB1B13D8

< End of report >
         
--- --- ---


Virustotal.com zur umbenannten svghost.exe:

Code:
ATTFilter
 AhnLab-V3	2011.09.02.00	2011.09.02	Trojan/Win32.PornoAsset
AntiVir	7.11.14.70	2011.09.02	TR/Ransom.EJ.2
Antiy-AVL	2.0.3.7	2011.09.02	Trojan/Win32.Lebag.gen
Avast	4.8.1351.0	2011.09.02	Win32:Crypt-KES [Trj]
Avast5	5.0.677.0	2011.09.02	Win32:Crypt-KES [Trj]
AVG	10.0.0.1190	2011.09.02	Generic24.ARMN
BitDefender	7.2	2011.09.02	Gen:Variant.Kazy.34956
ByteHero	1.0.0.1	2011.09.01	-
CAT-QuickHeal	None	2011.09.02	-
ClamAV	0.97.0.0	2011.09.02	-
Commtouch	5.3.2.6	2011.09.02	-
Comodo	9964	2011.09.02	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2011.09.02	-
Emsisoft	5.1.0.11	2011.09.02	Trojan.Win32.Lebag!IK
eSafe	7.0.17.0	2011.09.01	Win32.GenVariant.Kaz
eTrust-Vet	36.1.8536	2011.09.02	-
F-Prot	4.6.2.117	2011.09.02	-
F-Secure	9.0.16440.0	2011.09.02	Gen:Variant.Kazy.34956
Fortinet	4.3.370.0	2011.09.02	W32/Lebag.CX!tr
GData	22	2011.09.02	Gen:Variant.Kazy.34956
Ikarus	T3.1.1.107.0	2011.09.02	Trojan.Win32.Lebag
Jiangmin	13.0.900	2011.09.01	-
K7AntiVirus	9.111.5080	2011.09.01	Trojan
Kaspersky	9.0.0.837	2011.09.02	Trojan.Win32.Lebag.eak
McAfee	5.400.0.1158	2011.09.02	Artemis!EABEA41B35D2
McAfee-GW-Edition	2010.1D	2011.09.02	Artemis!EABEA41B35D2
Microsoft	1.7604	2011.09.02	Trojan:Win32/Ransom.EJ
NOD32	6429	2011.09.02	a variant of Win32/Kryptik.SCV
Norman	6.07.11	2011.09.02	W32/Suspicious_Gen2.PMNTO
nProtect	2011-09-02.01	2011.09.02	Gen:Variant.Kazy.34956
Panda	10.0.3.5	2011.09.01	Generic Trojan
PCTools	8.0.0.5	2011.09.02	Trojan.Gen
Prevx	3.0	2011.09.02	-
Rising	23.73.01.03	2011.08.30	-
Sophos	4.69.0	2011.09.02	Troj/Zbot-AWT
SUPERAntiSpyware	4.40.0.1006	2011.09.02	-
Symantec	20111.2.0.82	2011.09.02	Trojan.Gen.2
TheHacker	6.7.0.1.287	2011.09.02	Trojan/Lebag.eak
TrendMicro	9.500.0.1008	2011.09.01	PAK_Generic.001
TrendMicro-HouseCall	9.500.0.1008	2011.09.02	TROJ_GEN.R3EC2HP
VBA32	3.12.16.4	2011.09.02	Trojan.Winlock.01506
VIPRE	10345	2011.09.02	Trojan.Win32.Generic!SB.0
ViRobot	2011.9.2.4653	2011.09.02	-
VirusBuster	14.0.197.0	2011.09.01	Trojan.Chepvil.Gen!Pac.3
Additional information
MD5   : eabea41b35d2896c961158fc172764f5
SHA1  : c99d5aa16e20eea0349f7876065e4a8dc7009ccb
SHA256: 9a877155f32f2249e64590d660e0871c143511a1c8a747026656703b828115ba
ssdeep: 1536:uHFyECn32TD6+XnUgp/DfdW5S3F82TOZbvSlYU9Z+HL:WyZn3M6KnRzdWwC2aZbvSlhz
File size : 72192 bytes
First seen: 2011-08-24 14:20:14
Last seen : 2011-09-02 11:51:37
TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x298A0
timedatestamp....: 0x460E40FF (Sat Mar 31 11:07:43 2007)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x18000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x19000, 0x11000, 0x10A00, 7.96, d29538891ecf5def6a18e0d83497c1cf
.rsrc, 0x2A000, 0x1000, 0xC00, 3.84, ed34892a6b653ed0a34ab4b06f91f5e7

[[ 9 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
ADVAPI32.DLL: RegCloseKey
COMCTL32.DLL: InitCommonControlsEx
GDI32.DLL: BitBlt
MPR.DLL: WNetGetLastErrorW
MSVCRT.DLL: _j0
SHELL32.DLL: ShellAboutW
USER32.DLL: GetDC
WINMM.DLL: PlaySoundW
         
__________________

Geändert von LavIa (02.09.2011 um 13:51 Uhr)

Alt 02.09.2011, 15:52   #4
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



EDIT 2:

Wenn ich es auch nicht selbst analysieren kann, diese Analyse habe ich bei Sophos gefunden:

Code:
ATTFilter
Runtime Analysis
Copies Itself To

    c:\Documents and Settings\test user\Application Data\Identities\{4C55E6E8-044E-11DF-8031-806D6172696F}\svghost.exe

Registry Keys Created

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    {4C55E6E8-044E-11DF-8031-806D6172696F}
        c:\Documents and Settings\test user\Application Data\Identities\{4C55E6E8-044E-11DF-8031-806D6172696F}\svghost.exe

Registry Keys Modified

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

    CleanShutdown
        0x00000001

Processes Created

    c:\Documents and Settings\test user\application data\identities\{4c55e6e8-044e-11df-8031-806d6172696f}\svghost.exe
    c:\windows\system32\cmd.exe

DNS Requests

    security-3761-microsoft.com
         
Soweit ich das jetzt verstehe, habe ich den Autostart-Eintrag und die svghost-File ja schon gelöscht, und der Cleanshutdown-Eintrag ist ja auch okay und kann bleiben.

Bliebe also nur noch, die cmd.exe bei virustotal checken zu lassen, ob die korrumpiert wurde, das wars, oder?

Den DNS-Request verstehe ich aber nicht.
Das habe ich dazu gefunden:

Code:
ATTFilter
 name	                    query type	     result	                last seen
security-3761-microsoft.com. 	NS      ns1.slavhost.com.      2011-08-28 13:15:29
security-3761-microsoft.com. 	NS	ns2.slavhost.com.       2011-08-28 13:15:29
security-3761-microsoft.com. 	NS	ns3.ruskyhost.net.	2011-08-28 13:15:29
security-3761-microsoft.com. 	NS	ns4.ruskyhost.net.	2011-08-28 13:15:29
security-3761-microsoft.com. 	A	173.243.112.225	    2011-08-28 13:15:29
         
Ist das vielleicht ein umleitender Eintrag, den er dann noch irgendwo rausnehmen sollte? Oder steckte das in der svghost selbst drin und ist somit auch schon weg (zB als Ziel des Buttons "Bezahlen und runterladen" - er hat ihn nicht betätigt)?

Vielen Dank schon mal

Geändert von LavIa (02.09.2011 um 16:05 Uhr)

Alt 02.09.2011, 16:26   #5
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



habe gelöscht

__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Geändert von kira (02.09.2011 um 16:31 Uhr)

Alt 02.09.2011, 16:31   #6
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Zitat:
Zitat von LavIa Beitrag anzeigen
Wie gesagt, ich habe den befallenen Rechner nicht hier. Ich konnte ein Hijackthislog und -Fix machen und einen OTL-Quick-Scan, dann musste der betroffenen Freund wieder weg samt Laptop.
das heißt, gibt es kein Gerät zu bereinigen?
__________________
--> Roter Bildschirm "System blockiert"

Alt 02.09.2011, 16:40   #7
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Das "Gerät" existiert. Ich habe das Gerät nicht hier vor Ort, so dass ich es jetzt der üblichen umfassenden Scanner-Rountine unterziehen könnte. Meine Frage ist eher, ob durch das Löschen der Datei gestern nun schon bereinigt wurde oder ob diese spezielle Datei Fähigkeiten hatte, anderes nachzuladen.
Und darüber hinaus, (um etwaige Änderungen am System durch die Datei vollständig zu revidieren), meine Frage zu dem DNS Request. Das könnte ich ihm ja dann auch telefonisch sagen, wie er es selbst ändern kann, falls nötig.

Ich gehe davon aus, dass dieser Trojaner weder Backdoor-Qualitäten hat, noch anderes Nachladen konnte, noch sich vermehren konnte, und somit dann das Problem gelöst ist. Sollte ich mich täuschen und Ihr entdeckt Gegenteiliges an der Datei, dann werde ich ihn wohl zu überzeugen versuchen, nochmal mit dem Laptop aufzukreuzen, um dann die volle Routine mit Euch durchzuziehen.

Darüber hinaus möchte ich gerne die entsprechende Datei hier anbieten, ich habe in Erinnerung, dass Ihr sie hier gerne zur Analyse angeboten bekommt und hier noch keinen Thread gefunden, in der sie Euch hochgeladen wurde. Einfach hochladen und hier einen Link posten möchte ich lieber nicht, da ja sonst jeder auf das Zeug zugreifen kann.

Danke für Deine Hilfe

EDIT:

Ich habe das Gefühl, mich in der Antwort hier doch nur zu wiederholen, also scheine ich das Relevante nicht in meinen Postings zu haben. Weiß aber auch nicht, was fehlt.

Ich frage mal anders:

1. Besteht Interesse am Schadprogramm, so dass ich es hochladen soll? Wenn ja: wo und wie gebe ich den Link weiter?

2. Ist es möglich, anstatt der üblichen Scan-Routine mir die speziellen Fragen zum speziellen vorliegenden und analysierbaren Schadprogramm zu beantworten, also ob es DOCH Backdoor- oder Vervielfältigungsqualitäten hatte und welche Änderungen am System rückgängig zu machen sind? Oder soll ich mir dafür ein anderes Forum suchen? Vielleicht ein Tipp für ein solches?

3. Welche Informationen fehlen, um mir diese beiden Fragen beantworten zu können?

Vielen Dank schonmal

Geändert von LavIa (02.09.2011 um 17:25 Uhr)

Alt 02.09.2011, 20:40   #8
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Zitat:
Zitat von LavIa Beitrag anzeigen
Meine Frage ist eher, ob durch das Löschen der Datei gestern nun schon bereinigt wurde
Nein, ein Datei alleine zu löschen reicht nicht aus

Zitat:
Zitat von LavIa Beitrag anzeigen
Ich gehe davon aus, dass dieser Trojaner weder Backdoor-Qualitäten hat, noch anderes Nachladen konnte, noch sich vermehren konnte, und somit dann das Problem gelöst ist.
was ist ein Backdoor?-> Backdoor trojaner (Hintertür) Eine *Backdoor*ist ein Programm, mit dem ein Angreifer die vollständige Kontrolle über ein fremdes Betriebs-System übernehmen kann. Daher ist ein Betriebs-System, bei dem eine Backdoor entdeckt worden ist, als *kompromittiert* anzusehen.

Zitat:
Zitat von LavIa Beitrag anzeigen
2. Ist es möglich, anstatt der üblichen Scan-Routine mir die speziellen Fragen zum speziellen vorliegenden und analysierbaren Schadprogramm zu beantworten, also ob es DOCH Backdoor..
bei Virustotal kann geprüft werden:-> VirusTotal

Zitat:
Zitat von LavIa Beitrag anzeigen
oder Vervielfältigungsqualitäten hatte und welche Änderungen am System rückgängig zu machen sind?
Meistens hilft nur noch ein Neuaufsetzen des Betriebs-Systems und ein Überdenken des bisherigen Sicherheitskonzepts! Zusätzlich sollten alle jemals auf dem System verwendeten bzw. gespeicherten Passwörter als nicht mehr vertrauenswürdig angesehen und daher geändert werden!
Evtl. kann man Malware selbst ja mit relativ gute Ergebnis entfernen, die Löcher, welche die Backdoor ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren und damit leider auch nicht zu entfernen!
Über diese Löcher kann dann jederzeit Ihr System erneut infiziert werden, die Kontrolle über Ihr System erneut übernommen werden und das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Sie am Ende sogar noch zu Verantwortung gezogen werden können!
Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben wird; und es steht auch in keinem Verhältnis zum Aufwand, der beim Neuaufsetzen des Systems entstehen würde. Das Betriebssystem neu aufzusetzen, ist in so einer Situation auf jeden Fall deutlich schneller, eindeutig weniger aufwändig und wesentlich sicherer als ein Versuch der Bereinigung aller ins System gerissenen Löcher.
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 03.09.2011, 04:53   #9
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Zitat:
Zitat von LavIa Beitrag anzeigen
Darüber hinaus möchte ich gerne die entsprechende Datei hier anbieten, ich habe in Erinnerung, dass Ihr sie hier gerne zur Analyse angeboten bekommt und hier noch keinen Thread gefunden, in der sie Euch hochgeladen wurde. Einfach hochladen und hier einen Link posten möchte ich lieber nicht, da ja sonst jeder auf das Zeug zugreifen kann.
Downloade Dir bitte ZipIt2.exe von GravityGripp und speichere die Datei auf dem Desktop
  • Starte die ZipIt2.exe mit Doppelklick
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun folgenden Text in das Skriptfeld von ZipIt.
    Code:
    ATTFilter
     Files here
             
  • Klicke nun den Zip Button..
Du findest dann eine <Dein Benutzername>.zip Datei auf dem Desktop. Lade diese bitte hier hoch.
  • Klicke auf Durchsuchen. Navigiere zu der vorher erstellten .zip Datei.
  • Kopiere nun folgenden Link in die
    Link zum Thema im Forum Box
    Zitat:
    Link hier
  • Trage deinen Nicknamen ein und klicke Hochladen.
Teile mir mit wenn der Upload geklappt hat.
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 03.09.2011, 11:42   #10
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Danke für Deine Mühe

zu 1.: "Datei Euch hochladen":
Entschuldigung, ich stehe auf dem Schlauch: Ich nehme an, in die Box soll ich anstatt "Files here" den Pfad meiner Schaddatei angeben? Und dann bräuchte ich noch den Link anstatt "Link here". Soll ich dort die http-Adresse dieses Threads angeben oder die Upload Adresse, die bei dier unter "hier" verlinkt ist?

EDIT: Habs jetzt verstanden, die Upload-Seite war selbsterklärend, Upload hat geklappt

zu 2.: "Ist diese spezielle Infektion mit Löschen der Datei und des Eintrages entfernt? (lapidar ausgedrückt)":
Du beschreibst die Auswirkung eines Backdoor-Trojaners, die mir bekannt ist. Meine Frage ist ja daher, OB in dieser Anwendung (svghost.exe) eine Backdoorfunktion implementiert war.
Du sagst, ich kann es bei Virustotal hochladen. Dies habe ich bereits getan, siehe mein 2. Post, dort stehen auch die Ergebnisse. Ich verstehe sie so, dass es nunmal gerade kein Backdoortrojaner ist. (irre ich mich hier?)

Meine Frage nun, welche Änderungen muss ich also rückgängig machen?

Ich habe die (naive?) Vorstellung, dass ein Profi wie Ihr die Datei in einer emulierten Umgebung mit Analysetools ausführen könnte und dann zB sagen könnte: "Ja, die hat nur das und das gemacht". Oder: "Oh, ne, die öffnet Ports und zieht was nach, leider doch nicht so einfach".
Oder dass stattdessen ein Experte hier die von mir ergooglete Analyse von Sophos (siehe 2. Post) in der Richtung versteht.

Ich habe die Analyse so verstanden, dass sich die svghost.exe NUR in den entsprechenden Ordner kopiert, dann sich selbst ausführt (-> roter Bildschirm), einen Autostart-Eintrag für sich selbst bastelt und cmd.exe startet/überschreibt(?). Was ich nicht verstehe, ist, was der DNS Request bedeutet, wie ich schon schrieb.

Weiterhin danke für Deine Antworten

Geändert von LavIa (03.09.2011 um 11:58 Uhr)

Alt 04.09.2011, 03:24   #11
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Zitat:
Zitat von LavIa Beitrag anzeigen
Meine Frage ist ja daher, OB in dieser Anwendung (svghost.exe) eine Backdoorfunktion implementiert war.
Ich verstehe sie so, dass es nunmal gerade kein Backdoortrojaner ist. (irre ich mich hier?)
Ja das ist ein Backdoor! Liegt Ergebnisse von Virustotal vor! verstehe dich nicht, warum die Frage erneut?!

Zitat:
Zitat von LavIa Beitrag anzeigen
Meine Frage nun, welche Änderungen muss ich also rückgängig machen?
es mag sein, dass ich nicht deutlich genug geschrieben habe, dass die Auswirkungen (welcher Schaden durch das Schadprogramm angerichtet wurde) nie nachvollziehbar sind! Im normalfall ein durch Hintertür (backdoor) befallenen Rechner, soll neu aufgesetzt werden!
Ein Backdoor ist nie 100%ig zu beseitigen, eben wie der Name schon sagt weil ein "Hintertür" ist:
Code:
ATTFilter
Dazu zählen das Auspionieren von Daten;
Ausschnüffeln Ihrer Netzwerke;
Verwendung, Veränderung und Neürrichtung von Benutzern;
Manipulationen Ihrer Datenbanken;
Austausch Ihrer ausführbaren Dateien mit verseuchten Dateien;
Übernahme von Tastatur, Maus und Desktop-Funktionen auf einem fremden Rechner;
Hinzufügen, Ändern, Umbenennen von Verzeichnisstrukturen;
Start und Stop von Netzwerkdiensten (http, nntp, ftp);
Umleitungen von Ports und TCP/IP-Adressen;
Protokollierung der Tastatureingaben am Server und anderen Netzwerkteilnehmern -- und deren Abspeicherung in
Dateien, versenden von solch erstellten Protokollen und anderen Daten via TCP/IP (z.B. f. TAN- Passwortsammlung);
IP-Faking (Spoofing) - Umleitung von IP-Paketen auf Ihnen unbekannte Zielgeräte; Löschen, Einfügen oder Änderungen von Schlüsseln, Werten und Daten in Ihrer Registry;
Hinzufügen, Ändern, Umbenennen von Dateien;
Ausschnüffeln von Bildschirminhalten,
Abspeicherung und Versand derer über das Netz;
Verbindungen zwischen Netzwerkteilnehmern, herstellen und trennen;
Umleitung der Ein/Ausgabe von Applikationen an einen frei-definierbaren TCP/UDP-Port;
Ausspionieren und Veränderung von Portadressen im Netzwerkkommunikationsbereich;
Sperrung der Serverkonsole;
Auslesen der Passwörter;
Serverstop und Reboot.
         

Zitat:
Zitat von LavIa Beitrag anzeigen
was der DNS Request bedeutet,
-> http://de.wikipedia.org/wiki/Rekursi...aufl%C3%B6sung
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Geändert von kira (04.09.2011 um 03:29 Uhr)

Alt 04.09.2011, 13:05   #12
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Hallo Kira,

ohje, wir scheinen viele Verständigungsprobleme zu haben, danke für Deine Geduld.

Zitat:
Zitat von kira Beitrag anzeigen
Ja das ist ein Backdoor! Liegt Ergebnisse von Virustotal vor! verstehe dich nicht, warum die Frage erneut?!
Ich hatte erneut gefragt, weil nachdem ich bereits die Virustotalergebnisse gepostet hatte, Du mir erst erklärtest, wie ich bei Virustotal checken kann. Das hieß für mich, Du hättest die geposteten Ergebnisse noch gar nicht gesehen.
Bitte werde nicht böse, wenn ich jetzt so hartnäckig nochmal nachfrage, denn die Signatur für eine implementierte Backdoorfunktion ist bei Avira doch sonst "BDS/...", hier aber "TR/...",
bei Antiy-AVL "Backdoor/...", hier aber "Trojan/...",
bei Emsisoft "Backdoor. ...", hier aber "Trojan. ...",
bei Ikarus "Backdoor. ...", hier aber "Trojan. ...", etc.
und so ist es ja bei allen Scannern im Ergebnis. Wo ist mein Denkfehler? Vielleicht lerne ich ja was für die Zukunft.


Zitat:
Zitat von kira Beitrag anzeigen
es mag sein, dass ich nicht deutlich genug geschrieben habe, dass die Auswirkungen (welcher Schaden durch das Schadprogramm angerichtet wurde) nie nachvollziehbar sind! Im normalfall ein durch Hintertür (backdoor) befallenen Rechner, soll neu aufgesetzt werden!
Ein Backdoor ist nie 100%ig zu beseitigen, eben wie der Name schon sagt weil ein "Hintertür" ist! ...
Doch, das hast Du deutlich geschrieben. Und sobald ich verstanden habe, dass und warum das hier tatsächlich ein Backdoorprogramm ist, werde ich auch für ein Neuaufsetzen plädieren. Ich erinnere mich an den Glaubenskrieg vor ein paar Jahren hier im Forum, gehörte aber immer schon zu der Fraktion, die da gegen einen Bereinigungsversuch ist. Wenn, und nur wenn man es mit einer Backdoor zu tun hat.



Zitat:
Zitat von kira Beitrag anzeigen
-> Rekursive und iterative Namensauflösung ? Wikipedia
Danke, was heißt das denn im Zusammenhang bei Sophos? Hat die Datei nach Hause telefoniert oder ist das nur ein Redirect, zB wenn man im Programm auf den Button gedrückt hätte (zum "Bezahlen und runterladen" )? Liegt hier Grund, dass Du eine Backdoorfunktion erkennst? Oder sie nicht ausschließen kannst, weil das Teil ja eine Backdoorfunktion nachgeladen haben könnte?

Ist die Datei gut bei Euch angekommen?

Schönen Sonntag, lg, Lavla

Geändert von LavIa (04.09.2011 um 13:26 Uhr)

Alt 04.09.2011, 16:18   #13
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Ich weiß nicht, ob das hilfreich ist, vielleicht kannst Du damit ja etwas anfangen: Ich habe eine komplette Sandbox-Analyse genau dieser Datei gefunden, exakter MD5-Wert. Dass sie nun anders hieß, lässt sich dort gut ableiten: sie wird erst im Laufe ihrer Ausführung umbenannt und verschoben. Sehr interessant .

edit: Link: hxxp://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=84678076&cs=87CC8D918ABFBE06CB7760CFFBEF306E (mit url-tags habe ich es nicht hinbekommen, sry)

Ich würde mich total freuen, wenn Du mir erklären könntest, woran ich nun erkenne, dass es sich hier um eine Backdoor-Anwendung handelt. Es wäre toll, wenn ich es künftig selbst erkennen könnte.

Danke für Deine Geduld, Lavia, ehemals LavLa

Geändert von LavIa (04.09.2011 um 16:25 Uhr)

Alt 04.09.2011, 20:42   #14
kira
/// Helfer-Team
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



meistens schwierig "selbst" zu erkennen, Schädlinge (wie Backdoor/hintertür und Rootkit) verstecken sich oft wochenlang, ohne das der User es merkt
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 05.09.2011, 12:41   #15
LavIa
 
Roter Bildschirm "System blockiert" - Standard

Roter Bildschirm "System blockiert"



Zitat:
Zitat von kira Beitrag anzeigen
meistens schwierig "selbst" zu erkennen, Schädlinge (wie Backdoor/hintertür und Rootkit) verstecken sich oft wochenlang, ohne das der User es merkt
Du hast es ja offensichtlich geschafft:

Zitat:
Zitat von kira Beitrag anzeigen
Ja das ist ein Backdoor! Liegt Ergebnisse von Virustotal vor! verstehe dich nicht, warum die Frage erneut?!
Wie bist Du darauf gekommen? Woran im Virustotal-Ergebnis hast Du es denn nun entdeckt? Wo steht da der Backdoortrojaner? Oder vielleicht erkennst man ihn sogar in der ausführlichen Sandbox-Analyse?

Keine Sorge, ich komme auch mit Fachbegriffen klar, habe eigentlich Ahnung von der Materie und was ich nicht verstehe, werde ich mir ergooglen.

Es wäre mir nämlich wirklich eine Hilfe, mit einem handfesten Argument oder einer nachvollziehbaren Erklärung überbringen zu können, dass er sein System nun doch Neuaufsetzen lassen muss. Indem ich ihm anhand eines Ergebnisses zeigen könnte, dass es hier tatsächlich ein Backdoortrojaner ist. Ist bestimmt überzeugender und ich würde mich auch wohler bei fühlen, als wenn ich ihm mitteile: "Keine Ahnung warum doch, hat im Forum jemand gesagt, wird schon so sein, jetzt mach platt". Vor allem, weil ich es hier vorher tatsächlich anders eingeschätzt hatte.

Entschuldige, vielleicht hätte ich meinen Thread eher im Diskussionsunterforum posten sollen, dort habe ich ähnliche Fragen gesehen. Hier hast Du wohl erwartet, die übliche Bereiningung mit mir durchführen zu können.

Antwort

Themen zu Roter Bildschirm "System blockiert"
achtung!, aus sicherheitsgründen, backdoor, benutzerkonten, bezahlen und runterladen, bildschirm, blockiert, button, datei, druck, entfernen, feedback, ide, infizierte, internetverbindung, leute, malware, nicht mehr, nichts, schadprogramme, screen, seite, seiten, sicherheitsgründe, sicherheitsgründen, system, system blockiert, verbindung, verhindert, virus, virustotal, warnung, windows system, wurde ihr



Ähnliche Themen: Roter Bildschirm "System blockiert"


  1. "Achtung! Ihr Windows System wurde blockiert" - Bildschirm nach der Anmeldung
    Log-Analyse und Auswertung - 01.03.2012 (15)
  2. Verspätetes "Xmas-geschenk": 50€-Virus mit Text "System wird aus sicherheitsgründen blockiert"
    Log-Analyse und Auswertung - 02.01.2012 (5)
  3. "Windows wird aus Sicherheitsgründen blockiert"Virus blockiert System
    Log-Analyse und Auswertung - 22.12.2011 (4)
  4. schwarzer bildschirm mid dem satz "aus sicherheitsgründen wurde ihr windows system blockiert"
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (9)
  5. Schwarzer Bildschirm mit dem Satz "aus Sicherheitsgründen wurde ihr Windows system blockiert"
    Plagegeister aller Art und deren Bekämpfung - 14.12.2011 (2)
  6. roter Bildschirm "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert" Hilfe
    Plagegeister aller Art und deren Bekämpfung - 01.12.2011 (18)
  7. roter Bildschirm "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"
    Log-Analyse und Auswertung - 24.10.2011 (47)
  8. Roter Bildschirm "Aus Sicherheitsgründen"
    Log-Analyse und Auswertung - 05.10.2011 (7)
  9. roter Bildschirm mit der Warnung "Windows System blockiert"
    Log-Analyse und Auswertung - 30.09.2011 (28)
  10. Roter bildschirm "Windowssystem geblockt"
    Plagegeister aller Art und deren Bekämpfung - 22.09.2011 (3)
  11. roter Bildschirm "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"
    Log-Analyse und Auswertung - 21.09.2011 (11)
  12. roter Bildschirm "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"
    Mülltonne - 20.09.2011 (1)
  13. Roter Bildschirm mit einem Fenster "Aus sicherheitsgründen wurde Ihr Windowssystem blockiert"
    Log-Analyse und Auswertung - 14.09.2011 (1)
  14. habe auch "Roter Bildschirm: "Ihr System wurde aus Sicherheitsgründen blockiert" "
    Plagegeister aller Art und deren Bekämpfung - 26.08.2011 (3)
  15. Roter Bildschirm: "Ihr System wurde aus Sicherheitsgründen blockiert"
    Plagegeister aller Art und deren Bekämpfung - 21.08.2011 (7)
  16. roter Bildschirm "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"
    Log-Analyse und Auswertung - 09.08.2011 (1)
  17. Meine OTL.txt zu Nach "Windows Start roter Bildschirm mit komischer Meldung"
    Plagegeister aller Art und deren Bekämpfung - 08.08.2011 (10)

Zum Thema Roter Bildschirm "System blockiert" - Hallo liebe Community, es geht um eine Malware, die (nur bei Internetverbindung) einen roten Screen über alles legt, mit einem Windows-Style-Fenster mit der Schrift: "Achtung! Aus Sicherheitsgründen wurde ihr Windows - Roter Bildschirm "System blockiert"...
Archiv
Du betrachtest: Roter Bildschirm "System blockiert" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.