| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.09.2011, 21:04
| #1 |
| |  TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden Hallo trojaner-board! Ich hab vor ca. nem Monat aufgrund eines fehlerhaften Nvidia-Grafikkartentreibers meinen PC neu aufsetzten müssen. Da ich ein bisschen zu übereifrig war, hab ich einfach über die bestehende Version "drüberinstalliert" woraufhin ein Backupordner meines alten Systems angelegt wurde. Deshalb haben meine Verzeichnisse womöglich einen ungewöhnlichen Namen. Zum eigentlichen Thema: Vor nem Monat hatte ich nen Virenfund und hab mir weiter nichts dabei gedacht, und das betroffene File in Quarantäne geschoben. Da ich eigentlich keine Ahnung von Viren etc. habe, dachte ich dass sich die Sache damit gegessen hat. Nun sind aber wieder 2 Files auffällig geworden. Deshalb suche ich hier nach Hilfe um meinen Pc wieder sauber zu bekommen. Ich hab mich bzgl. meines Problems schon ein bisschen schlau gemacht, aber meistens wurden die üblichen Logfiles von OTL, gmer und malewarebytes gefordert. Es wurden wie im Titel kurz beschrieben, die oben genannten Viren TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir entdeckt. Deshalb hab ich auch gleich mal die Programme über meinen PC drüberlaufen lassen, welche im Erstpostthread erwähnt wurden Die Situation: mein System laut Everest: Computertyp: ACPI-Multiprocessor-PC Betriebssystem: Microsoft Windows XP Professional CPU Typ: QuadCore Intel Core 2 Quad Q6600 Motherboard Name: Abit IX38 QuadGT Grafikkarte: NVIDIA GeForce 8800 GT (512 MB) Ich hab mir defogger runtergeladen und die Anweisungen befolgt. Nachdem ich fertig war hat das Programm aber, entgegen der Beschreibung nicht nach einem Neustart gefragt. Deshalb hab ich ihn manuell durchgeführt. Ich hoffe, dass das korrekt war. Danach hab ich OTL gedownloadet und alle Programme geschlossen. Die Logfiles von OTL sehen so aus: OTL.txt Code:
ATTFilter OTL logfile created on: 26.09.2011 20:26:46 - Run 1 OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Pauli.BIE\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,53 Gb Available Physical Memory | 76,81% Memory free 3,85 Gb Paging File | 3,47 Gb Available in Paging File | 90,24% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 19,53 Gb Total Space | 4,38 Gb Free Space | 22,41% Space Free | Partition Type: NTFS Drive D: | 244,14 Gb Total Space | 140,09 Gb Free Space | 57,38% Space Free | Partition Type: NTFS Drive E: | 202,08 Gb Total Space | 13,91 Gb Free Space | 6,88% Space Free | Partition Type: NTFS Unable to calculate disk information. Computer Name: BIE | User Name: Pauli | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.09.26 20:22:25 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\OTL.exe PRC - [2011.08.03 13:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe PRC - [2011.08.03 10:58:22 | 000,265,120 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe PRC - [2011.07.11 19:26:38 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.17 20:08:56 | 000,073,728 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINXP\ALCFDRTM.EXE PRC - [2011.03.28 16:15:17 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.03.28 16:14:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2011.01.07 13:12:22 | 000,253,672 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.04.21 12:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) -- C:\WINXP\system32\hasplms.exe PRC - [2008.06.12 03:25:18 | 000,037,232 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe PRC - [2008.06.11 23:43:26 | 000,640,376 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe PRC - [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe PRC - [2004.02.24 16:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) -- C:\Programme\Sygate\SPF\Smc.exe ========== Modules (No Company Name) ========== MOD - [2011.08.03 10:58:22 | 000,265,120 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe MOD - [2010.06.17 15:27:02 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ========== Win32 Services (SafeList) ========== SRV - [2011.09.19 20:35:40 | 000,013,160 | ---- | M] (Citrix Online, a division of Citrix Systems, Inc.) [On_Demand | Stopped] -- C:\Programme\Citrix\GoToAssist\759\g2aservice.exe -- (GoToAssist) SRV - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) [Disabled | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.08.04 00:34:52 | 000,411,432 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service) SRV - [2011.08.03 13:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService) SRV - [2011.08.03 10:58:22 | 000,265,120 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe -- (WireHelpSvc) SRV - [2011.07.11 19:26:38 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.05.25 15:14:34 | 000,053,248 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R) SRV - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.12.08 00:06:40 | 000,085,096 | ---- | M] (Autodesk) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service) SRV - [2010.10.28 12:13:30 | 000,293,456 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ) SRV - [2010.02.01 15:13:02 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2010.01.09 22:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc) SRV - [2010.01.09 20:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2009.04.21 12:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Auto | Running] -- C:\WINXP\System32\hasplms.exe -- (hasplms) SRV - [2004.02.24 16:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) [Auto | Running] -- C:\Programme\Sygate\SPF\Smc.exe -- (SmcService) ========== Driver Services (SafeList) ========== DRV - [2011.09.18 13:12:41 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINXP\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01) DRV - [2011.08.31 17:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINXP\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2011.08.03 14:12:36 | 000,862,496 | ---- | M] (<Turtle Entertainment>) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\ESLWireACD.sys -- (ESLWireAC) DRV - [2011.08.03 10:58:14 | 000,024,504 | ---- | M] (Turtle Entertainment GmbH) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ESLvnic.sys -- (ESLvnic1) DRV - [2011.07.11 19:26:39 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.11 19:26:39 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.05.03 16:33:46 | 006,404,712 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2010.08.24 19:31:18 | 000,028,624 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LUsbFilt.sys -- (LUsbFilt) DRV - [2010.08.24 19:31:02 | 000,037,328 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LMouFilt.Sys -- (LMouFilt) DRV - [2010.08.24 19:30:52 | 000,038,864 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LHidFilt.Sys -- (LHidFilt) DRV - [2010.08.24 19:30:18 | 000,010,448 | ---- | M] (Logitech, Inc.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\LBeepKE.sys -- (LBeepKE) DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.11.18 07:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009.11.18 07:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2009.03.25 14:29:52 | 000,130,432 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\Rtnicxp.sys -- (RTL8023xp) DRV - [2009.03.13 11:55:28 | 000,586,752 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\hardlock.sys -- (hardlock) DRV - [2009.01.16 12:42:28 | 000,352,256 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\aksfridge.sys -- (aksfridge) DRV - [2005.12.07 17:27:52 | 000,013,324 | ---- | M] (Razer (Asia-Pacific) Pte Ltd) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\krait.sys -- (krait03) DRV - [2004.02.02 10:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Running] -- C:\WINXP\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt) DRV - [2004.02.02 10:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINXP\SYSTEM32\Drivers\Teefer.sys -- (Teefer) DRV - [2004.02.02 10:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINXP\SYSTEM32\Drivers\wg3n.sys -- (wg3n) DRV - [1998.07.08 08:15:00 | 000,055,296 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINXP\system32\drivers\SSIPDDP.SYS -- (SSIPDDP) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 55 0A 6D D0 56 4D CC 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\PROGRA~1\Office\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\PROGRA~1\Office\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.103: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2011.05.17 20:21:57 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2011.05.17 20:21:58 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.09.17 00:56:00 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.07.04 00:44:25 | 000,000,000 | ---D | M] [2011.05.17 20:09:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Extensions [2011.09.10 16:36:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions [2011.06.29 18:01:32 | 000,000,000 | ---D | M] (ChatZilla) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2011.09.09 17:44:13 | 000,000,000 | ---D | M] (Binnen-I be gone) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions\{b65d7d9a-4ec0-4974-b07f-83e30f6e973f} [2011.09.09 18:16:00 | 000,000,000 | ---D | M] (Ghostery) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions\firefox@ghostery.com [2011.07.01 18:31:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.05.17 20:15:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\PAULI.BIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\IW1XQCUM.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\PAULI.BIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\IW1XQCUM.DEFAULT\EXTENSIONS\{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI [2011.05.17 20:14:50 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2011.07.11 22:52:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINXP\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.09.17 00:56:00 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.05.17 20:14:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2011.09.17 00:55:57 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.09.17 00:55:57 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.09.17 00:55:57 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.09.17 00:55:57 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.09.17 00:55:57 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.09.17 00:55:57 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\Programme\Office\Office14\URLREDIR.DLL (Microsoft Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.) O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\nvmctray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe () O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: E&xport to Microsoft Excel - D:\Programme\Office\Office14\EXCEL.EXE (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class) O16 - DPF: 55963676-2F5E-4BAF-AC28-CF26AA587566 vpnweb.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.129.232.1 213.129.226.2 213.239.200.194 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E1BD709-346A-4C59-93B3-A57C9A05F79E}: DhcpNameServer = 213.129.232.1 213.129.226.2 213.239.200.194 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINXP\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) -C:\WINXP\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\GoToAssist: DllName - (C:\Programme\Citrix\GoToAssist\759\G2AWinLogon.dll) - C:\Programme\Citrix\GoToAssist\759\g2awinlogon.dll (Citrix Online, a division of Citrix Systems, Inc.) O20 - Winlogon\Notify\LBTWlgn: DllName - (c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll) - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.01.01 01:32:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3A03A585-7850-09ED-200E-DDA97AA1CCD6} - Browseranpassungen ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINXP\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {ABAFCCF4-45F1-AB0B-6401-BBFF52EDDA3F} - Microsoft Windows Media Player 6.4 ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {BDB5AE46-8A5A-79A6-A224-1ADF463D5773} - DirectX ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Reg Error: Value error. ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINXP\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINXP\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINXP\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIEActiveSetup SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE ActiveX: >{99820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: Microsoft Base Smart Card Crypto Provider Package - NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Windchill ProductPoint Client Manager.lnk - - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Pauli.BIE^Startmenü^Programme^Autostart^Dropbox.lnk - C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox\bin\Dropbox.exe - (Dropbox, Inc.) MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Programme\DivX\DivX Update\DivXUpdate.exe () MsConfig - StartUpReg: EvtMgr6 - hkey= - key= - C:\Programme\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.09.26 20:22:24 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\OTL.exe [2011.09.22 02:19:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Lavalys [2011.09.19 20:58:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Recent [2011.09.19 20:35:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\Citrix [2011.09.18 13:26:17 | 000,052,736 | ---- | C] (Interplay Productions) -- C:\WINXP\ipuninst.exe [2011.09.18 13:26:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Startmenü\Programme\Black Isle [2011.09.18 13:12:41 | 000,232,512 | ---- | C] (DT Soft Ltd) -- C:\WINXP\System32\drivers\dtsoftbus01.sys [2011.09.18 13:08:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\DAEMON Tools Lite [2011.09.18 13:08:05 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite [2011.09.10 18:59:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Startmenü\Programme\HiJackThis [2011.09.10 18:59:18 | 000,000,000 | ---D | C] -- C:\Programme\HiJackThis [2011.09.10 18:50:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Malwarebytes [2011.09.10 18:50:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.09.10 18:50:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes [2011.09.10 18:50:40 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys [2011.09.10 18:50:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.09.10 11:41:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\NVIDIA [2011.09.09 18:52:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\TeamSpeak 3 Client [2011.09.09 18:49:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\ESL Wire Game Client [2011.09.09 18:49:34 | 000,862,496 | ---- | C] (<Turtle Entertainment>) -- C:\WINXP\System32\drivers\ESLWireACD.sys [2011.09.09 18:49:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\ESL Wire [2011.09.09 18:49:30 | 000,024,504 | ---- | C] (Turtle Entertainment GmbH) -- C:\WINXP\System32\drivers\ESLvnic.sys [2011.09.09 18:49:30 | 000,000,000 | ---D | C] -- C:\Programme\EslWire [2011.09.09 18:49:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\ESL Wire [2011.09.02 11:09:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Eigene Dateien\BioWare [2011.09.02 11:04:33 | 000,444,952 | ---- | C] (Creative Labs) -- C:\WINXP\System32\wrap_oal.dll [2011.05.24 09:23:48 | 000,024,920 | ---- | C] ( ) -- C:\WINXP\System32\implode.dll [3 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] [2 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.09.26 20:24:36 | 000,002,262 | ---- | M] () -- C:\WINXP\System32\wpa.dbl [2011.09.26 20:24:14 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job [2011.09.26 20:24:13 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2011.09.26 20:22:25 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\OTL.exe [2011.09.26 20:21:23 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\defogger_reenable [2011.09.26 20:15:00 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job [2011.09.22 02:19:30 | 000,000,739 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\EVEREST Corporate Edition.lnk [2011.09.22 02:02:00 | 000,002,551 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\HiJackThis.lnk [2011.09.22 01:17:08 | 000,280,500 | ---- | M] () -- C:\WINXP\System32\nvdrsdb0.bin [2011.09.22 01:17:08 | 000,000,001 | ---- | M] () -- C:\WINXP\System32\nvdrssel.bin [2011.09.22 01:05:15 | 000,280,500 | ---- | M] () -- C:\WINXP\System32\nvdrsdb1.bin [2011.09.19 20:35:30 | 000,102,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\GoToAssistDownloadHelper.exe [2011.09.18 13:26:17 | 000,052,736 | ---- | M] (Interplay Productions) -- C:\WINXP\ipuninst.exe [2011.09.18 13:12:41 | 000,232,512 | ---- | M] (DT Soft Ltd) -- C:\WINXP\System32\drivers\dtsoftbus01.sys [2011.09.18 13:12:03 | 000,000,618 | ---- | M] () -- C:\WINXP\tasks\WebContent AutoUpdate 2011.job [2011.09.18 13:08:08 | 000,001,577 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\DAEMON Tools Lite.lnk [2011.09.10 18:50:44 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\Malwarebytes' Anti-Malware.lnk [2011.09.09 21:42:56 | 000,448,800 | ---- | M] () -- C:\WINXP\System32\perfh007.dat [2011.09.09 21:42:56 | 000,432,492 | ---- | M] () -- C:\WINXP\System32\perfh009.dat [2011.09.09 21:42:56 | 000,080,108 | ---- | M] () -- C:\WINXP\System32\perfc007.dat [2011.09.09 21:42:56 | 000,067,448 | ---- | M] () -- C:\WINXP\System32\perfc009.dat [2011.09.09 18:52:23 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\TeamSpeak 3 Client.lnk [2011.09.09 18:49:34 | 000,000,621 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\ESL Wire.lnk [2011.09.02 11:04:33 | 000,444,952 | ---- | M] (Creative Labs) -- C:\WINXP\System32\wrap_oal.dll [2011.09.02 10:58:27 | 000,000,472 | ---- | M] () -- C:\WINXP\tasks\Allplan AutoUpdate 2011-1.job [2011.08.31 17:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys [3 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] [2 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.09.26 20:21:23 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\defogger_reenable [2011.09.22 02:19:30 | 000,000,739 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\EVEREST Corporate Edition.lnk [2011.09.22 01:04:53 | 002,128,778 | ---- | C] () -- C:\WINXP\System32\nvdata.data [2011.09.19 20:35:29 | 000,102,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\GoToAssistDownloadHelper.exe [2011.09.18 13:08:08 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\DAEMON Tools Lite.lnk [2011.09.10 18:59:19 | 000,002,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\HiJackThis.lnk [2011.09.10 18:50:44 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\Malwarebytes' Anti-Malware.lnk [2011.09.09 18:52:23 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\TeamSpeak 3 Client.lnk [2011.09.09 18:49:37 | 000,265,120 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe [2011.09.09 18:49:34 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\ESL Wire.lnk [2011.06.15 18:56:33 | 000,000,056 | -H-- | C] () -- C:\WINXP\System32\ezsidmv.dat [2011.06.09 21:18:40 | 000,055,296 | ---- | C] () -- C:\WINXP\System32\drivers\SSIPDDP.SYS [2011.05.18 01:42:28 | 000,003,589 | ---- | C] () -- C:\WINXP\System32\nethasp.ini [2011.05.18 01:42:28 | 000,002,042 | ---- | C] () -- C:\WINXP\System32\AUTHOR.INI [2011.05.18 01:27:59 | 000,000,819 | ---- | C] () -- C:\WINXP\System32\_nethasp.ini [2011.05.17 20:24:37 | 000,165,376 | ---- | C] () -- C:\WINXP\System32\unrar.dll [2011.05.17 20:24:37 | 000,000,038 | ---- | C] () -- C:\WINXP\avisplitter.ini [2011.05.17 20:24:36 | 000,810,496 | ---- | C] () -- C:\WINXP\System32\xvidcore.dll [2011.05.17 20:24:36 | 000,183,808 | ---- | C] () -- C:\WINXP\System32\xvidvfw.dll [2011.05.17 20:24:35 | 000,080,896 | ---- | C] () -- C:\WINXP\System32\ff_vfw.dll [2011.05.17 20:09:54 | 000,000,000 | ---- | C] () -- C:\WINXP\nsreg.dat [2011.05.17 20:02:57 | 000,049,152 | ---- | C] () -- C:\WINXP\System32\ChCfg.exe [2011.05.17 20:02:43 | 000,073,728 | ---- | C] () -- C:\WINXP\System32\RtNicProp32.dll [2011.05.17 19:35:00 | 000,004,212 | -H-- | C] () -- C:\WINXP\System32\zllictbl.dat [2011.05.17 19:23:23 | 000,280,500 | ---- | C] () -- C:\WINXP\System32\nvdrsdb1.bin [2011.05.17 19:23:23 | 000,280,500 | ---- | C] () -- C:\WINXP\System32\nvdrsdb0.bin [2011.05.17 19:23:23 | 000,000,001 | ---- | C] () -- C:\WINXP\System32\nvdrssel.bin [2011.05.17 19:23:17 | 002,116,894 | ---- | C] () -- C:\WINXP\System32\nvdata.bin [2011.05.17 13:29:54 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI [2011.05.17 13:27:08 | 000,219,248 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT [2011.05.17 12:39:59 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat [2011.05.17 12:34:31 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat [2009.01.18 20:03:52 | 001,550,200 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2008.04.14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin [2008.04.14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat [2008.04.14 08:00:00 | 000,448,800 | ---- | C] () -- C:\WINXP\System32\perfh007.dat [2008.04.14 08:00:00 | 000,432,492 | ---- | C] () -- C:\WINXP\System32\perfh009.dat [2008.04.14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat [2008.04.14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat [2008.04.14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat [2008.04.14 08:00:00 | 000,080,108 | ---- | C] () -- C:\WINXP\System32\perfc007.dat [2008.04.14 08:00:00 | 000,067,448 | ---- | C] () -- C:\WINXP\System32\perfc009.dat [2008.04.14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin [2008.04.14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat [2008.04.14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat [2008.04.14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat [2008.04.14 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat [2008.04.14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINXP\System32\Dcache.bin [2008.04.14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat ========== LOP Check ========== [2011.05.28 08:20:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Autodesk [2011.05.18 01:34:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Cisco [2011.05.24 08:00:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\DAEMON Tools Lite [2011.05.18 01:29:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Dlubal [2011.09.09 18:49:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\ESL Wire [2011.05.24 09:26:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Nemetschek [2011.06.11 01:00:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\PTC [2011.05.28 08:20:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Autodesk [2011.09.19 20:58:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\DAEMON Tools Lite [2011.07.01 16:42:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox [2011.09.19 23:41:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\HLSW [2011.06.28 19:35:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Leadertech [2011.06.11 00:58:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mathsoft [2011.05.28 10:43:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Nemetschek [2011.06.11 01:14:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\PTC [2011.09.19 20:58:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\uTorrent [2011.09.02 10:58:27 | 000,000,472 | ---- | M] () -- C:\WINXP\Tasks\Allplan AutoUpdate 2011-1.job [2011.09.18 13:12:03 | 000,000,618 | ---- | M] () -- C:\WINXP\Tasks\WebContent AutoUpdate 2011.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2009.01.18 19:50:22 | 000,000,000 | RH-D | M] -- C:\AHCache [2011.09.22 01:14:28 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2009.01.10 16:24:19 | 000,000,000 | ---D | M] -- C:\CtDriverInstTemp [2011.05.18 01:22:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2007.01.01 02:01:15 | 000,000,000 | ---D | M] -- C:\Intel [2011.02.19 01:27:59 | 000,000,000 | ---D | M] -- C:\logs [2011.05.16 22:14:35 | 000,000,000 | ---D | M] -- C:\NVIDIA [2007.01.01 02:19:18 | 000,000,000 | ---D | M] -- C:\Postinstall [2011.09.18 13:08:05 | 000,000,000 | R--D | M] -- C:\Programme [2007.01.01 02:03:34 | 000,000,000 | ---D | M] -- C:\RaidTool [2011.05.17 19:13:47 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.05.17 12:42:04 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.09.10 11:38:48 | 000,000,000 | ---D | M] -- C:\Temp [2008.10.20 08:10:43 | 000,000,000 | ---D | M] -- C:\VideoSec [2011.09.22 02:15:15 | 000,000,000 | ---D | M] -- C:\WINXP < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < %systemroot%\system32\*.manifest /3 > [3 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ] < MD5 for: EXPLORER.EXE > [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\explorer.exe [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\system32\dllcache\explorer.exe < MD5 for: REGEDIT.EXE > [2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\regedit.exe [2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\dllcache\userinit.exe [2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\dllcache\winlogon.exe [2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-09-17 01:01:56 < End of report > Code:
ATTFilter OTL Extras logfile created on: 26.09.2011 20:26:46 - Run 1
OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Pauli.BIE\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,53 Gb Available Physical Memory | 76,81% Memory free
3,85 Gb Paging File | 3,47 Gb Available in Paging File | 90,24% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 4,38 Gb Free Space | 22,41% Space Free | Partition Type: NTFS
Drive D: | 244,14 Gb Total Space | 140,09 Gb Free Space | 57,38% Space Free | Partition Type: NTFS
Drive E: | 202,08 Gb Total Space | 13,91 Gb Free Space | 6,88% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Computer Name: BIE | User Name: Pauli | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Programme\Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"1947:TCP" = 1947:TCP:*:Enabled:HASP SRM
"1947:UDP" = 1947:UDP:*:Enabled:HASP SRM
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Sony Ericsson\Update Service\Update Service.exe" = C:\Programme\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service -- ()
"C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"D:\Programme\Valve\Steam\Steam.exe" = D:\Programme\Valve\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Programme\GRETECH\GomTVStreamer\GomTVStreamerLive.exe" = C:\Programme\GRETECH\GomTVStreamer\GomTVStreamerLive.exe:*:Enabled:GomTVStreamerLive -- ()
"D:\Programme\HLSW\hlsw.exe" = D:\Programme\HLSW\hlsw.exe:*:Enabled:HLSW Application -- (Stripf Software)
"C:\Programme\EslWire\wire.exe" = C:\Programme\EslWire\wire.exe:*:Enabled:ESL Wire Client -- (Turtle Entertainment GmbH)
"C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\wtvClient0.97.00\wtvClient.exe" = C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\wtvClient0.97.00\wtvClient.exe:*:Enabled:wtvClient -- ()
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"D:\Programme\Valve\Steam\SteamApps\einshoch6\counter-strike\hl.exe" = D:\Programme\Valve\Steam\SteamApps\einshoch6\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)
"C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{014CF29F-D3C0-4303-B3E9-CA10AD1E6085}" = Dlubal-Anwendungen RSTAB
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{213BE58E-7FBE-4DE8-B23C-5997933D8907}" = RFEM
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 25
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5545EEE1-FA36-4F76-B6BE-5696E7F4E2D6}" = VBA (2627.01)
"{5783F2D7-6001-0409-0002-0060B0CE6BBA}" = AutoCAD 2008 - English
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{7262D0C8-41CC-4F75-8383-A6C7C61D7FC6}" = Nemetschek SoftLock 2006
"{7F44B051-B2A5-4242-9367-6E182BC90BA0}" = Dlubal RFEM 4
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{90140000-0010-0409-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (English) 14
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2010
"{90140000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2010
"{90140000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2010
"{90140000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2010
"{90140000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2010
"{90140000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2010
"{90140000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2010
"{90140000-0044-0409-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (English) 2010
"{90140000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2010
"{90140000-00A1-0409-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (English) 2010
"{90140000-00BA-0409-0000-0000000FF1CE}" = Microsoft Office Groove MUI (English) 2010
"{90140000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2010
"{90140000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2010
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A346205-EA92-4406-B1AB-50379DA3F057}" = Autodesk DWF Viewer 7
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch
"{AC76BA86-1033-F400-7760-000000000004}{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch
"{AEB9948B-4FF2-47C9-990E-47014492A0FE}" = MSXML 6.0 Parser
"{AF2A8E58-DBC6-36D3-A145-7252029F6F48}" = Microsoft Report Viewer Redistributable 2008 SP1
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.94
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C65ABF2A-1B82-4F34-8C74-E4FE373F3BE4}" = 'PTC Places' Namespace Shell Extension
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{DC8F6C78-7231-44A2-B66E-6C4FCB3A3364}" = Mathcad 15 F000
"{DF71C8D1-9258-4504-89AF-BA80748CC0D2}" = Nemetschek Allplan 2011
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{F110F974-B24A-40AE-87BC-48A7F9001AF2}" = RFEM
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F860F390-78F4-4B45-8C1A-0489618E315B}" = Sygate Personal Firewall
"{FA61FF86-2479-D620-9F6B-655ADD4225B4}" = General Runtime Files for Allplan 2011-1 Release
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AutoCAD 2008 - English" = AutoCAD 2008 - English
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DAEMON Tools Lite" = DAEMON Tools Lite
"Defraggler" = Defraggler
"DivX Setup.divx.com" = DivX-Setup
"ESL Wire_is1" = ESL Wire 1.10.1
"EVEREST Corporate Edition_is1" = EVEREST Corporate Edition v5.50
"Fallout2" = Fallout2
"GOM Player" = GOM Player
"GomTVStreamer" = GOMTV Streamer
"GoToAssist" = GoToAssist Corporate
"HLSW_is1" = HLSW v1.3.3.7b
"KLiteCodecPack_is1" = K-Lite Codec Pack 7.0.0 (Full)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Report Viewer Redistributable 2008 SP1" = Microsoft Report Viewer Redistributable 2008 SP1
"Mozilla Firefox 6.0.2 (x86 de)" = Mozilla Firefox 6.0.2 (x86 de)
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"OpenAL" = OpenAL
"sp6" = Logitech SetPoint 6.22
"Steam App 400" = Portal
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Update Service" = Sony Ericsson Update Service
"uTorrent" = µTorrent
"VLC media player" = VLC media player 1.1.11
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Winamp" = Winamp
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 22.06.2011 16:28:24 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 23.06.2011 06:26:27 | Computer Name = BIE | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 23.06.2011 06:26:30 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 24.06.2011 07:16:22 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 24.06.2011 07:19:51 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 24.06.2011 07:21:18 | Computer Name = BIE | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 5.0.0.4183, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 27.06.2011 15:51:30 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 27.06.2011 15:51:35 | Computer Name = BIE | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
Error - 27.06.2011 17:12:58 | Computer Name = BIE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung skype.exe, Version 5.3.0.116, fehlgeschlagenes
Modul skype.exe, Version 5.3.0.116, Fehleradresse 0x00194300.
Error - 27.06.2011 18:24:29 | Computer Name = BIE | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
[ Cisco AnyConnect VPN Client Events ]
Error - 21.09.2011 19:13:56 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpSessionAsync::OnTransportInitiateComplete File: .\IP\HttpSessionAsync.cpp
Line:
1002 Invoked Function: ISocketTransportCB::OnTransportInitiateComplete Return Code:
-31522780 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
Error - 21.09.2011 19:13:56 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpProbeAsync::OnOpenRequestComplete File: .\IP\HttpProbeAsync.cpp
Line:
254 Invoked Function: CHttpSessionAsync::OnOpenRequestComplete Return Code: -31522780
(0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
Error - 21.09.2011 19:13:56 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CSocketTransport::OnTimerExpired File: .\IPC\SocketTransport.cpp
Line:
1175 Invoked Function: CSocketTransport::postConnectProcessing Return Code: -31522780
(0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpSessionAsync::OnTransportInitiateComplete File: .\IP\HttpSessionAsync.cpp
Line:
1002 Invoked Function: ISocketTransportCB::OnTransportInitiateComplete Return Code:
-31522780 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpProbeAsync::OnOpenRequestComplete File: .\IP\HttpProbeAsync.cpp
Line:
254 Invoked Function: CHttpSessionAsync::OnOpenRequestComplete Return Code: -31522780
(0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CSocketTransport::OnTimerExpired File: .\IPC\SocketTransport.cpp
Line:
1175 Invoked Function: CSocketTransport::postConnectProcessing Return Code: -31522780
(0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CNetEnvironment::TestAccessToSG File: .\NetEnvironment.cpp
Line:
1020 Invoked Function: CNetEnvironment::analyzeHttpResponse Return Code: -28901363
(0xFE47000D) Description: NETENVIRONMENT_ERROR_PROBE_INCOMPLETE:Network Probe could
not contact target
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CNetEnvironment::testNetwork File: .\NetEnvironment.cpp Line:
856 Invoked Function: CNetEnvironment::IsSGAccessible Return Code: -28901363 (0xFE47000D)
Description:
NETENVIRONMENT_ERROR_PROBE_INCOMPLETE:Network Probe could not contact target
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CNetEnvironment::TestNetEnv File: .\NetEnvironment.cpp Line:
190 Invoked Function: CNetEnvironment::testNetwork Return Code: -28901363 (0xFE47000D)
Description:
NETENVIRONMENT_ERROR_PROBE_INCOMPLETE:Network Probe could not contact target
Error - 21.09.2011 19:14:21 | Computer Name = BIE | Source = vpnagent | ID = 67110873
Description = Termination reason code 7: The agent has been stopped.
[ System Events ]
Error - 21.09.2011 17:57:34 | Computer Name = BIE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst vpnagent.
Error - 21.09.2011 17:57:34 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
Error - 21.09.2011 18:50:40 | Computer Name = BIE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst vpnagent.
Error - 21.09.2011 18:50:40 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
Error - 21.09.2011 19:13:08 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
Error - 21.09.2011 19:13:08 | Computer Name = BIE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst vpnagent.
Error - 21.09.2011 19:24:59 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
Error - 22.09.2011 17:11:06 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
Error - 26.09.2011 13:41:00 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
Error - 26.09.2011 14:24:30 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1332
< End of report >
Es wurden alle Programme geschlossen, das Netzwerkkabel gezogen und alle Antivirenscanner wie beschrieben abgeschalten. Das log von GMER: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-26 21:21:13
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-a SAMSUNG_HD501LJ rev.CR100-12
Running: 7dzd7yxs.exe; Driver: C:\DOKUME~1\Pauli.BIE\LOKALE~1\Temp\pxtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT B875E854 ZwClose
SSDT B875E80E ZwCreateKey
SSDT B875E85E ZwCreateSection
SSDT B875E804 ZwCreateThread
SSDT B875E813 ZwDeleteKey
SSDT B875E81D ZwDeleteValueKey
SSDT B875E84F ZwDuplicateObject
SSDT B875E822 ZwLoadKey
SSDT \??\C:\WINXP\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xB84A98D0]
SSDT B875E7F0 ZwOpenProcess
SSDT B875E7F5 ZwOpenThread
SSDT B875E82C ZwReplaceKey
SSDT B875E827 ZwRestoreKey
SSDT B875E863 ZwSetContextThread
SSDT B875E818 ZwSetValueKey
SSDT \??\C:\WINXP\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xB84A9E70]
SSDT B875E7FF ZwTerminateProcess
SSDT \WINXP\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwOpenKey [0x804D7FE7]
SSDT \WINXP\system32\ntkrnlpa.exe[unknown section] [804D7FE7] ZwOpenKey [0x804D7FE7]
INT 0x03 \WINXP\system32\ntkrnlpa.exe[unknown section] 804D7FF1
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2C48 805044E4 4 Bytes CALL D1FEFD5E
.text ntkrnlpa.exe!ZwCallbackReturn + 2C88 80504524 4 Bytes [0E, E8, 75, B8]
.text ntkrnlpa.exe!ZwCallbackReturn + 2CAC 80504548 4 Bytes CALL D0CEFDC2
.text ntkrnlpa.exe!ZwCallbackReturn + 2CB8 80504554 4 Bytes CALL EFEEFDCE
.text ntkrnlpa.exe!ZwCallbackReturn + 2CE0 8050457C 4 Bytes CALL D30AFDF6
.text ...
.text C:\WINXP\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6D983A0, 0x8A1A15, 0xE8000020]
.text tcpip.sys!IPTransmit + 10FC B2146D3A 6 Bytes CALL B7DE0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 2A52 B2148690 6 Bytes CALL B7DE0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPRegisterProtocol + 930 B215E454 6 Bytes CALL B7DE0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys B6C5C3FD 7 Bytes CALL B7DE0350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text C:\WINXP\system32\drivers\aksfridge.sys section is writeable [0xB09D1000, 0x47E35, 0xE0000020]
.init C:\WINXP\system32\drivers\aksfridge.sys entry point in ".init" section [0xB0A25224]
.init C:\WINXP\system32\drivers\aksfridge.sys unknown last code section [0xB0A25000, 0x4000, 0xE20000E0]
.text C:\WINXP\system32\drivers\hardlock.sys section is writeable [0xB086F400, 0x6E292, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB08F9420] C:\WINXP\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB08F9420]
.protectÿÿÿÿhardlockunknown last code section [0xB08F9200, 0x511A, 0xE0000020] C:\WINXP\system32\drivers\hardlock.sys unknown last code section [0xB08F9200, 0x511A, 0xE0000020]
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Disk \Device\Harddisk0\DR0 aksfridge.sys (Ancillary Function Driver/Aladdin Knowledge Systems Ltd.)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Da mein Beitrag sonst zu groß geworden wäre, befinden sich die Antivir.logs im Anhang. Ich hoffe Ihr könnt mir weiterhelfen meinen PC wieder sauber zu bekommen. Falls irgendetwas falsch gemacht wurde, bzw. etwas fehlt versuche ich es so schnell wie möglich nachzuliefern, bzw. zu korregieren. Vielen Dank schonmal! mfg edit: gerade nochmal 2 datein infiziert gewesen. irgendwie hat der malewarebytesscan ne warnung bei antivir getriggert. das log von malewarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7802
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26.09.2011 22:41:39
mbam-log-2011-09-26 (22-41-33).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 440408
Laufzeit: 1 Stunde(n), 10 Minute(n), 28 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
e:\system volume information\_restore{e778ba52-e8bb-4c70-b6b9-0d114c4d42a1}\RP75\A0047622.EXE (Trojan.Agent.Gen) -> No action taken.
die auswertungen von antivir befinden sich im 2ten anhang: Geändert von fovkeke (26.09.2011 um 21:55 Uhr) Grund: zusätzliches logfile |
|
27.09.2011, 12:47
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________
__________________ |
|
27.09.2011, 23:04
| #3 |
| | TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden hallo cosinus!
__________________danke für die rasche antwort. anbei befinden sich die protection logs und die normalen mbam logs jeweils als zip datei. eigentlich sollt ich mich nicht wundern, dass sich der PC was eingefangen hat, bei den datein die da anscheinend auf der festplatte draufliegen. naja, das kommt davon wenn man keinen eigenen Pc hat. ich hoffe du kannst damit was anfangen. mfg |
|
28.09.2011, 09:29
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefundenZitat:
 Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
28.09.2011, 14:54
| #5 |
| | TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden das hab ich mir schon gedacht. auch wenn ich bezweifle nochmal ne antwort zu erhalten, versuche ich es trotzdem mal. ich hab mir den PC mit anderen leuten teilen müssen, weshalb ich nicht immer den überblick hatte wer was gemacht hat.  da kann es schon gut sein, dass wer was auf den PC raufgespielt hat. ich bin da jetzt nicht schuldlos, da ich drauf achten hätte sollen, aber man kann ja nie alles wissen. :/ falls ihr trotzdem, wie ich leider annehme, nichts mehr zu sagen habt könnt ihr das thema schließen.  danke für die hilfe. edit: sollte ich dann das komplette system formatieren? ich mein, woher weiß ich dass der virus nicht nach dem formatieren des systemlaufwerks wieder da ist? ich hab bis jetzt ja das system noch nicht vollständig gereinigt :/ Geändert von fovkeke (28.09.2011 um 15:01 Uhr) Grund: zusätzliche frage |
|
28.09.2011, 15:38
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefundenZitat:
- Sicherung über Live-CD wie Ubuntu oder Knoppix oder andere beliebige Distro - nach Sicherung auf externem Medium kann die interne Platte über das Windows-Setup von CD/DVD komplett geleert werden (alle Partition auflösen, neu erstellen und formatieren
__________________ --> TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden |
|
| Themen zu TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden |
| 0x00000001, 32-bit, 7-zip, adobe, antivir, avira, bho, black, browser, crypto, device driver, document, einstellungen, error, excel, excel.exe, firefox, flash player, fontcache, format, helper, hijack, homepage, mbamservice.exe, microsoft office word, nvidia update, object, plug-in, realtek, registry, rundll, scan, security, teamspeak, tr/kazy.23203, tr/psw.dybalom.ggb.1, tr/trash.gen, trojan.agent.ge, trojaner-board, udp, windows, windows xp |
Linear-Darstellung
