| |
| |||||||
Log-Analyse und Auswertung: Win32.Banker ; W32/AutoRun.blccWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
12.11.2011, 15:09
| #1 |
 |  Win32.Banker ; W32/AutoRun.blcc Hallo, Ich hatte gestern zufällig diese merkwürdigen Dateien in meinem Windows Ordner gefunden: iun6002.exe und IsUninst.exe Ich hatte darauf beide bei Virustotal hochgeladen und bei ersterem wurden die genannten Viren!? angezeigt. hxxp://www.virustotal.com/file-scan/report.html?id=a93dc5e28d74ef40dd5d694aff7fb5f24c27dac4b59adae008cfdc5ca65587b0-1321042862 Ich hatte vor paar Tagen noch andere Probleme und den Rechner ja mehrmals prüfen lassen und kein Scanner zeigte diese Dateien als infiziert an. Ich habe gestern noch mit Osam und Malwarebytes prüfen lassen mit keinem Fund. Ebenso hab ich MSE natürlich auch mit keinem Fund laufen lassen. Merkwürdig ist allerdings das MSE immernoch den Status "möglicherweise nicht geschützt" anzeigt und einen Scan verlangt obwohl ich erst gestern einen Vollscan ausführen lies. http://www.trojaner-board.de/104664-...ert-local.html Sorry das ich hier nochmal schreibe aber ich möchte wirklich sicher gehen das der Rechner sauber ist, da seit etwas mehr als einem halben Jahr ab und zu ein Freund mit seinem Laptop vorbeigekommen ist um ein, zwei Spiele zu zocken für das ich auch mal Firewall ausschalten musste usw.... und ich aufgrund der letzten Ereignisse nicht mehr weiß ob ich der Sache trauen kann. Leider wurden ja wie erwähnt keine brauchbaren Recovery CD's erstellt. Ich hoffe das mir jemand noch weiter helfen kann oder einen Ratschlag in dieser Hinsicht hat. |
|
27.11.2011, 03:52
| #2 |
| | Win32.Banker ; W32/AutoRun.blcc Hi, Sorry ich hatte bis jetzt leider keine Zeit mehr mich darum zu kümmern, hier noch die entsprechenden log-Dateien. Bitte schau sich das doch noch jemand an.
__________________Ich habe MSE reinstalliert wonach die Anzeige das der Computer möglicherweise nicht geschützt sei nicht mehr auftauchte. Habe gelesen das hier auch Leute quasi ausgebildet werden für diese Auswertungen usw.... Und nachdem ich mich ja jetzt auch einige Zeit damit beschäftigt hab, bin ich immernoch weiter interessiert an diesem Thema. Wie sieht das aus? An wen sollte man sich dafür wenden? Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 00:52:28 on 12.11.2011 OS: Windows 7 Home Premium Edition Service Pack 1 (Build 7601), 64-bit Default Browser: Opera Software Opera Internet Browser 11.52 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Boot Execute] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )----- "BootExecute" - ? - sdnclean64.exe (File not found) [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Program Files (x86)\Lavasoft\Ad-Aware\KernExplorer64.sys (File not found) "NTIDrvr" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\Windows\system32\drivers\NTIDrvr.sys "UBHelper" (UBHelper) - "NewTech Infosystems Corporation" - C:\Windows\system32\drivers\UBHelper.sys [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - "The Document Foundation" - C:\Program Files (x86)\LibreOffice 3.4\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - c:\Program Files (x86)\Common Files\Microsoft Shared\Information Retrieval\msitss.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )----- {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "WebCheck" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) ITBar7Height64 "ITBar7Height64" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout64" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} "BDSCANONLINE Control" - "BitDefender" - C:\Windows\DOWNLO~1\oscan82.ocx / hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files (x86)\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Program Files (x86)\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Program Files (x86)\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Program Files (x86)\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "Exec" - ? - C:\Windows\bdoscandel.exe (File found, but it contains no detailed information) {5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Click to Call" - "Skype Technologies S.A." - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\Annemarie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "AGEIA PhysX SysTray" - ? - C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe -----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )----- "StartupPrograms" - ? - rdpclip (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "BackupManagerTray" - "NewTech Infosystems, Inc." - "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k "LManager" - "Dritek System Inc." - C:\Program Files (x86)\Launch Manager\LManager.exe "StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Fax Lexmark X5400 Series Port" - ? - C:\Windows\system32\LXDVPMON.DLL (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "@c:\Program Files\Microsoft Security Client\Antimalware\MpAsDesc.dll,-243" (NisSrv) - "Microsoft Corporation" - c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe "Acer ePower Service" (ePowerSvc) - "Acer Incorporated" - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe "Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe "GRegService" (Greg_Service) - "Acer Incorporated" - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe "Intel(R) Management & Security Application User Notification Service" (UNS) - "Intel Corporation" - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe "Intel(R) Management and Security Application Local Management Service" (LMS) - "Intel Corporation" - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe "Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe "Microsoft .NET Framework NGEN v4.0.30319_X64" (clr_optimization_v4.0.30319_64) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe "NTI Backup Now 5 Backup Service" (NTIBackupSvc) - "NewTech InfoSystems, Inc." - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe "NTI Backup Now 5 Scheduler Service" (NTISchedulerSvc) - "NewTech Infosystems, Inc." - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe "NTI IScheduleSvc" (NTI IScheduleSvc) - "NewTech Infosystems, Inc." - C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE "Raw Socket Service" (RS_Service) - "Acer Incorporated" - C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe "Updater Service" (Updater Service) - "Acer" - C:\Program Files\Acer\Acer Updater\UpdaterService.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - ? - c:\windows\system32\ACER.SCR ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: Acer
BIOS Manufacturer: Phoenix Technologies LTD
System Manufacturer: Acer
System Product Name: Aspire 7740
Logical Drives Mask: 0x0000000c
Kernel Drivers (total 154):
0x0260F000 \SystemRoot\system32\ntoskrnl.exe
0x02BF8000 \SystemRoot\system32\hal.dll
0x0251F000 \SystemRoot\system32\kdcom.dll
0x00CD5000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00D24000 \SystemRoot\system32\PSHED.dll
0x00D38000 \SystemRoot\system32\CLFS.SYS
0x00C00000 \SystemRoot\system32\CI.dll
0x00EE3000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00F87000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00F96000 \SystemRoot\system32\drivers\ACPI.sys
0x00FED000 \SystemRoot\system32\drivers\WMILIB.SYS
0x00FF6000 \SystemRoot\system32\drivers\msisadrv.sys
0x00E00000 \SystemRoot\system32\drivers\pci.sys
0x00E33000 \SystemRoot\system32\drivers\vdrvroot.sys
0x00E40000 \SystemRoot\System32\drivers\partmgr.sys
0x00E55000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x00E5E000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x00E6A000 \SystemRoot\system32\drivers\volmgr.sys
0x00E7F000 \SystemRoot\System32\drivers\volmgrx.sys
0x00D96000 \SystemRoot\System32\drivers\mountmgr.sys
0x01001000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x0111D000 \SystemRoot\system32\drivers\atapi.sys
0x01126000 \SystemRoot\system32\drivers\ataport.SYS
0x01150000 \SystemRoot\system32\drivers\amdxata.sys
0x0115B000 \SystemRoot\system32\drivers\fltmgr.sys
0x011A7000 \SystemRoot\system32\drivers\fileinfo.sys
0x01257000 \SystemRoot\System32\Drivers\Ntfs.sys
0x0147A000 \SystemRoot\System32\Drivers\msrpc.sys
0x014D8000 \SystemRoot\System32\Drivers\ksecdd.sys
0x014F3000 \SystemRoot\System32\Drivers\cng.sys
0x01565000 \SystemRoot\System32\drivers\pcw.sys
0x01576000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x016E7000 \SystemRoot\system32\drivers\ndis.sys
0x01600000 \SystemRoot\system32\drivers\NETIO.SYS
0x01660000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01828000 \SystemRoot\System32\drivers\tcpip.sys
0x01A2C000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01A76000 \SystemRoot\system32\drivers\volsnap.sys
0x01AC2000 \SystemRoot\System32\Drivers\spldr.sys
0x01ACA000 \SystemRoot\System32\drivers\rdyboost.sys
0x01B04000 \SystemRoot\System32\Drivers\mup.sys
0x01B16000 \SystemRoot\System32\drivers\hwpolicy.sys
0x01B1F000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01B59000 \SystemRoot\system32\DRIVERS\disk.sys
0x01B6F000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x02A13000 \SystemRoot\system32\drivers\cdrom.sys
0x02A3D000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0x02A6E000 \SystemRoot\System32\Drivers\Null.SYS
0x02A77000 \SystemRoot\System32\Drivers\Beep.SYS
0x02A7E000 \SystemRoot\System32\drivers\vga.sys
0x02A8C000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x02AB1000 \SystemRoot\System32\drivers\watchdog.sys
0x02AC1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x02ACA000 \SystemRoot\system32\drivers\rdpencdd.sys
0x02AD3000 \SystemRoot\system32\drivers\rdprefmp.sys
0x01BAD000 \SystemRoot\System32\Drivers\Msfs.SYS
0x01BB8000 \SystemRoot\System32\Drivers\Npfs.SYS
0x01BC9000 \SystemRoot\system32\DRIVERS\tdx.sys
0x01BEB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02E00000 \SystemRoot\system32\drivers\afd.sys
0x02E89000 \SystemRoot\System32\DRIVERS\netbt.sys
0x02ECE000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x02ED7000 \SystemRoot\system32\DRIVERS\pacer.sys
0x02EFD000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x02F13000 \SystemRoot\system32\DRIVERS\netbios.sys
0x02F22000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x02F3D000 \SystemRoot\system32\drivers\termdd.sys
0x02F51000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x02FA2000 \SystemRoot\system32\drivers\nsiproxy.sys
0x02FAE000 \SystemRoot\system32\drivers\mssmbios.sys
0x02FB9000 \SystemRoot\System32\drivers\discache.sys
0x02FC8000 \SystemRoot\System32\Drivers\dfsc.sys
0x02FE6000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x01800000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x032D6000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x03AED000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x03A00000 \SystemRoot\System32\drivers\dxgmms1.sys
0x03A46000 \SystemRoot\system32\drivers\HDAudBus.sys
0x03A6A000 \SystemRoot\system32\DRIVERS\HECIx64.sys
0x03A7B000 \SystemRoot\system32\drivers\usbehci.sys
0x03A8C000 \SystemRoot\system32\drivers\USBPORT.SYS
0x03C7E000 \SystemRoot\system32\DRIVERS\athrx.sys
0x03C00000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x03C0D000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x03C12000 \SystemRoot\system32\drivers\i8042prt.sys
0x03C30000 \SystemRoot\SysWOW64\Drivers\DKbFltr.sys
0x03C3C000 \SystemRoot\system32\drivers\kbdclass.sys
0x0390D000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
0x03C4B000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x03C5A000 \??\C:\Windows\system32\drivers\UBHelper.sys
0x03C62000 \??\C:\Windows\system32\drivers\NTIDrvr.sys
0x03BE1000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x03C6A000 \SystemRoot\system32\drivers\wmiacpi.sys
0x0394E000 \SystemRoot\system32\drivers\CompositeBus.sys
0x0395E000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x03974000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x03998000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x039A4000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x039D3000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x03200000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x03221000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x03C73000 \SystemRoot\system32\drivers\swenum.sys
0x0323B000 \SystemRoot\system32\drivers\ks.sys
0x0327E000 \SystemRoot\system32\drivers\umbus.sys
0x0168B000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x03290000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x032A5000 \SystemRoot\system32\drivers\RtHDMIVX.sys
0x01580000 \SystemRoot\system32\drivers\portcls.sys
0x017DA000 \SystemRoot\system32\drivers\drmk.sys
0x03C75000 \SystemRoot\system32\drivers\ksthunk.sys
0x04201000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x0447C000 \SystemRoot\system32\DRIVERS\agrsm64.sys
0x045AD000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x045AF000 \SystemRoot\system32\drivers\modem.sys
0x045BE000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x045CC000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x045E5000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x045EE000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x04400000 \SystemRoot\system32\DRIVERS\point64.sys
0x04410000 \SystemRoot\System32\Drivers\crashdmp.sys
0x02ADC000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x0441E000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x04431000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x00040000 \SystemRoot\System32\win32k.sys
0x0444E000 \SystemRoot\System32\drivers\Dxapi.sys
0x015BD000 \SystemRoot\System32\Drivers\usbvideo.sys
0x0445A000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00560000 \SystemRoot\System32\TSDDD.dll
0x007B0000 \SystemRoot\System32\cdd.dll
0x008F0000 \SystemRoot\System32\ATMFD.DLL
0x01400000 \SystemRoot\system32\drivers\luafv.sys
0x01423000 \SystemRoot\system32\drivers\WudfPf.sys
0x01444000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x01200000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x04468000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x01459000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x011BB000 \SystemRoot\system32\DRIVERS\bowser.sys
0x011D9000 \SystemRoot\System32\drivers\mpsdrv.sys
0x00DB0000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x05CD5000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x05D23000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x05D47000 \SystemRoot\system32\DRIVERS\MpNWMon.sys
0x05D57000 \SystemRoot\system32\drivers\peauth.sys
0x05C00000 \SystemRoot\System32\Drivers\secdrv.SYS
0x05C0B000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x05C3C000 \SystemRoot\System32\drivers\tcpipreg.sys
0x05C4E000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0720D000 \SystemRoot\System32\DRIVERS\srv.sys
0x072A5000 \SystemRoot\System32\drivers\ipnat.sys
0x072D4000 \SystemRoot\system32\DRIVERS\NisDrvWFP.sys
0x072EC000 \SystemRoot\system32\drivers\HTTP.sys
0x77C80000 \Windows\System32\ntdll.dll
0x47A10000 \Windows\System32\smss.exe
0xFFFA0000 \Windows\System32\apisetschema.dll
Processes (total 67):
0 System Idle Process
4 System
320 C:\Windows\System32\smss.exe
472 csrss.exe
536 C:\Windows\System32\wininit.exe
564 csrss.exe
604 C:\Windows\System32\services.exe
640 C:\Windows\System32\winlogon.exe
652 C:\Windows\System32\lsass.exe
660 C:\Windows\System32\lsm.exe
776 C:\Windows\System32\svchost.exe
856 C:\Windows\System32\svchost.exe
920 C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
1004 C:\Windows\System32\atiesrxx.exe
420 C:\Windows\System32\svchost.exe
480 C:\Windows\System32\svchost.exe
460 C:\Windows\System32\svchost.exe
1088 C:\Windows\System32\svchost.exe
1192 C:\Windows\System32\svchost.exe
1304 C:\Windows\System32\svchost.exe
1388 C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
1484 C:\Windows\System32\atieclxx.exe
1584 C:\Program Files\LSI SoftModem\agr64svc.exe
1616 C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
1836 C:\Windows\System32\taskhost.exe
1924 C:\Windows\System32\dwm.exe
2012 C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
1176 C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
1340 C:\Windows\explorer.exe
1756 C:\Windows\System32\spool\drivers\x64\3\lxdvserv.exe
2000 C:\Windows\System32\lxdvcoms.exe
1516 C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
2100 C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
2124 C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
2136 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
2152 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
2160 C:\Program Files\Apoint2K\Apoint.exe
2252 C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe
2280 C:\Windows\System32\svchost.exe
2316 C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe
2324 C:\Program Files\Microsoft Security Client\msseces.exe
2332 C:\Program Files\Microsoft IntelliPoint\ipoint.exe
2352 C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe
2588 C:\Program Files\Acer\Acer Updater\UpdaterService.exe
2636 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe
2776 C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
3012 C:\Windows\System32\wbem\unsecapp.exe
720 WmiPrvSE.exe
2148 C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe
1936 C:\Windows\System32\alg.exe
1844 C:\Program Files\Acer\Acer ePower Management\ePowerEvent.exe
3216 C:\Program Files\Apoint2K\ApMsgFwd.exe
3260 C:\Windows\System32\svchost.exe
3296 C:\Program Files\Apoint2K\ApntEx.exe
3312 C:\Windows\System32\conhost.exe
3504 C:\Program Files\Apoint2K\Hidfind.exe
3524 C:\Program Files (x86)\Launch Manager\LManager.exe
3668 C:\Windows\System32\SearchIndexer.exe
3960 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
4032 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
3368 C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
1708 C:\Windows\System32\svchost.exe
3616 C:\Windows\System32\audiodg.exe
2092 dllhost.exe
3024 dllhost.exe
3596 C:\Users\Annemarie\Desktop\MBRCheck.exe
3808 C:\Windows\System32\conhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`f4500000 (NTFS)
PhysicalDrive0 Model Number: HitachiHTS545032B9A300, Rev: PB3OC60F
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979
Done!
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:36:50, on 26.11.2011 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16421) Boot mode: Normal Running processes: C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe C:\Program Files (x86)\Launch Manager\LManager.exe C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.startpage.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe O4 - HKCU\..\Run: [AGEIA PhysX SysTray] C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agr64svc.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe O23 - Service: lxdvCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\x64\3\\lxdvserv.exe O23 - Service: lxdv_device - - C:\Windows\system32\lxdvcoms.exe O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) -- End of file - 8162 bytes Ein log vom 23.11. zeigte diesen Unterschied zu diesem. O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) Code:
ATTFilter
Sophos Anti-Rootkit Version 1.5.20 (c) 2009 Sophos Plc
Started logging on 22.11.2011 at 04:54:32
User "Annemarie" on computer "LAPPY"
Windows version 6.1 SP 1.0 Service Pack 1 build 7601 SM=0x300 PT=0x1 WOW64
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\Windows\SysWOW64\Macromed\Flash\FlashUtil11e_Plugin.exe
Hidden: file C:\Windows\temp\TMP00000009D7DF4B7938F41F47
Hidden: file C:\Windows\SoftwareDistribution\Download\41b9e602bb171198c6c61492ba6d3b3cfe80949c
Hidden: file C:\Windows\System32\DriverStore\FileRepository\c7_93221.inf_amd64_neutral_1ef2b75c15cc4550\B_92876\atio6axx.dll
Hidden: file C:\Program Files (x86)\StarCraft II\Support\Battle.net.dll
Hidden: file C:\Program Files (x86)\StarCraft II\Support\SC2Editor.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base18092\SC2.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base18574\SC2.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base16755\SC2.exe
Hidden: file C:\lexmark\drivers\X5400\Applications\App4r\Tools\NetFx64.exe
Hidden: file C:\lexmark\drivers\X5400\install\x86\InstGui.exe
Hidden: file C:\lexmark\drivers\X5400\install\x86\uninst.exe
Hidden: file C:\lexmark\drivers\X5400\Applications\App4r\Tools\dotnetfx.exe
Hidden: file C:\Program Files (x86)\Arena\ELOstat\ELOstat.exe
Hidden: file C:\oem\Preload\Autorun\APP\Registration\SetupGREG.exe
Hidden: file C:\oem\Preload\Autorun\DRV\CardReader\instmsia.exe
Hidden: file C:\oem\Preload\Autorun\APP\WelcomeCenter\SetupOWC.exe
Hidden: file C:\oem\Preload\Autorun\DRV\CardReader\instmsiw.exe
Hidden: file C:\Program Files (x86)\Arena\TB\gaviota.tb
Hidden: file C:\Windows\SysWOW64\lxdvgrd.dll
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\portibrn\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\arabic\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\korean\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\korean\lxdveula.txt
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\turkish\lxdvwavs.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Support\icuuc44.dll
Hidden: file C:\Users\Annemarie\Downloads\WoW-Language-Pack-enGB-downloader.exe
Hidden: file C:\oem\Preload\Autorun\DRV\ATIVGA\Packages\Apps\dotnetfx\dotnetfx\dotnetfx.exe
Hidden: file C:\oem\Preload\Autorun\DRV\ATIVGA\Packages\Apps\NetFx64\NetFx64\NetFx64.exe
Hidden: file C:\oem\Preload\Autorun\DRV\Audio\WDM\RTLCPL.exe
Hidden: file C:\oem\Preload\Autorun\APP\ArcadDlx\PCinema\vcredist_x86.exe
Hidden: file C:\oem\Preload\Autorun\APP\ePower\setup.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base17326\SC2.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base16939\SC2.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Houdini\Houdini_15a_w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Spike\Spike1.4.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 960 w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 Dynamic 32-bit.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 Human w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 Large.bmp
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 960.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 Dynamic.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 Human.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 2\Rybkav2.3.2a.mp.x64.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 2\Rybkav2.3.2a.x64.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Stockfish\stockfish-211-64-ja.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base16561\SC2.exe
Hidden: file C:\ProgramData\Blizzard Entertainment\StarCraft II\Maps\Cache\THanson03A.SC2Map\00000000\hardTile.bin
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base15405\SC2.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base16605\SC2.exe
Stopped logging on 22.11.2011 at 05:43:04
Code:
ATTFilter
Sophos Anti-Rootkit Version 1.5.20 (c) 2009 Sophos Plc
Started logging on 26.11.2011 at 18:21:48
User "Annemarie" on computer "LAPPY"
Windows version 6.1 SP 1.0 Service Pack 1 build 7601 SM=0x300 PT=0x1 WOW64
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\Windows\System32\DriverStore\FileRepository\c7_93221.inf_amd64_neutral_1ef2b75c15cc4550\B_92876\atio6axx.dll
Hidden: file C:\Program Files (x86)\Arena\ELOstat\ELOstat.exe
Hidden: file C:\Program Files (x86)\Arena\TB\gaviota.tb
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\portibrn\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\arabic\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\korean\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\turkish\lxdvwavs.exe
Hidden: file C:\Windows\System32\DriverStore\FileRepository\lxdvprc.inf_amd64_neutral_57533440e20d1160\common\turkish\lxdveula.txt
Hidden: file C:\oem\Preload\Autorun\DRV\Audio\WDM\RTLCPL.exe
Hidden: file C:\oem\Preload\Autorun\APP\ArcadDlx\PCinema\vcredist_x86.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Houdini\Houdini_15a_w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Spike\Spike1.4.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 960 w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 Dynamic 32-bit.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 Human w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 Large.bmp
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 (32)\Rybka 3 w32.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 960.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 Dynamic.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3 Human.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 3\Rybka 3.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 2\Rybkav2.3.2a.mp.x64.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\IvanHoe_999947c\src\eval_explain.c
Hidden: file C:\Program Files (x86)\Arena\Engines\Rybka 2\Rybkav2.3.2a.x64.exe
Hidden: file C:\Program Files (x86)\Arena\Engines\Stockfish\stockfish-211-64-ja.exe
Hidden: file C:\Program Files (x86)\StarCraft II\Versions\Base15405\SC2.exe
Stopped logging on 26.11.2011 at 19:13:27
Das Programm zeigte aber nie etwas zum löschen oder so an.... Naja ich hab mal probeweise eine Datei angewählt doch das Programm hat es auch nach einem Neustart nicht gelöscht. Gruß Sacajawea |
|
29.11.2011, 20:28
| #3 |
| /// Selecta Jahrusso   | Win32.Banker ; W32/AutoRun.blcc Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen. Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.manifest /3
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
Bitte poste in deiner nächsten Antwort otl.txt extras.txt
__________________ |
|
01.12.2011, 21:12
| #4 |
| | Win32.Banker ; W32/AutoRun.blcc Ok, alles klar. Hier die logs. Hab gerade gemerkt das sich alle Lesezeichen von Opera verabschiedet haben. Der Scan wurde offline durchgeführt. Code:
ATTFilter OTL logfile created on: 01.12.2011 20:45:04 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Annemarie\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,86 Gb Total Physical Memory | 2,85 Gb Available Physical Memory | 73,70% Memory free 7,73 Gb Paging File | 6,56 Gb Available in Paging File | 84,91% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 286,27 Gb Total Space | 191,20 Gb Free Space | 66,79% Space Free | Partition Type: NTFS Computer Name: LAPPY | User Name: Annemarie | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.12.01 19:03:32 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\Annemarie\Desktop\OTL.exe PRC - [2009.11.02 00:39:48 | 001,094,736 | ---- | M] (Dritek System Inc.) -- C:\Program Files (x86)\Launch Manager\LManager.exe PRC - [2009.10.01 05:01:32 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe PRC - [2009.10.01 05:01:30 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe PRC - [2009.09.25 00:42:32 | 000,261,888 | ---- | M] (NewTech Infosystems, Inc.) -- C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe PRC - [2009.09.25 00:42:28 | 000,062,720 | ---- | M] (NewTech Infosystems, Inc.) -- C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe PRC - [2009.08.28 10:38:58 | 001,150,496 | ---- | M] (Acer Incorporated) -- C:\Program Files (x86)\Acer\Registration\GregHSRW.exe PRC - [2009.07.10 02:54:44 | 000,253,952 | ---- | M] (Acer Incorporated) -- C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe PRC - [2009.07.04 03:47:12 | 000,240,160 | ---- | M] (Acer) -- C:\Programme\Acer\Acer Updater\UpdaterService.exe PRC - [2009.06.05 04:03:32 | 000,186,904 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe PRC - [2009.06.05 04:03:06 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe PRC - [2007.04.20 07:57:30 | 000,345,640 | ---- | M] () -- C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe ========== Modules (No Company Name) ========== MOD - [2009.02.03 02:33:56 | 000,460,199 | ---- | M] () -- C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\sqlite3.dll MOD - [2007.04.20 07:57:30 | 000,345,640 | ---- | M] () -- C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe ========== Win32 Services (SafeList) ========== SRV:64bit: - [2011.04.27 17:21:18 | 000,288,272 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe -- (NisSrv) SRV:64bit: - [2011.04.27 17:21:18 | 000,012,784 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc) SRV:64bit: - [2009.12.10 10:15:06 | 000,202,752 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2007.10.18 17:54:06 | 001,044,136 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysNative\lxdvcoms.exe -- (lxdv_device) SRV:64bit: - [2007.10.18 17:53:58 | 000,033,448 | ---- | M] () [Auto | Running] -- C:\Windows\SysNative\spool\DRIVERS\x64\3\\lxdvserv.exe -- (lxdvCATSCustConnectService) SRV - [2011.06.06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.10.01 05:01:32 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R) SRV - [2009.10.01 05:01:30 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R) SRV - [2009.09.30 14:44:58 | 000,844,320 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Programme\Acer\Acer ePower Management\ePowerSvc.exe -- (ePowerSvc) SRV - [2009.09.25 00:42:28 | 000,062,720 | ---- | M] (NewTech Infosystems, Inc.) [Auto | Running] -- C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe -- (NTI IScheduleSvc) SRV - [2009.08.28 10:38:58 | 001,150,496 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Program Files (x86)\Acer\Registration\GregHSRW.exe -- (Greg_Service) SRV - [2009.07.10 02:54:44 | 000,253,952 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe -- (RS_Service) SRV - [2009.07.04 03:47:12 | 000,240,160 | ---- | M] (Acer) [Auto | Running] -- C:\Programme\Acer\Acer Updater\UpdaterService.exe -- (Updater Service) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2009.06.05 04:03:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe -- (IAANTMON) Intel(R) SRV - [2009.03.28 03:10:16 | 000,016,896 | ---- | M] (LSI Corporation) [Auto | Running] -- C:\Programme\LSI SoftModem\agr64svc.exe -- (AgereModemAudio) SRV - [2007.10.18 17:53:53 | 000,594,600 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysWow64\lxdvcoms.exe -- (lxdv_device) ========== Driver Services (SafeList) ========== DRV:64bit: - [2011.08.01 14:59:06 | 000,045,416 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\point64.sys -- (Point64) DRV:64bit: - [2011.05.12 14:03:12 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\B77D.tmp -- (MEMSWEEP2) DRV:64bit: - [2011.04.27 15:25:24 | 000,084,864 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\NisDrvWFP.sys -- (NisDrv) DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.11.20 14:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.11.20 12:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2009.12.10 12:40:30 | 006,179,328 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag) DRV:64bit: - [2009.11.06 21:56:06 | 001,550,848 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\athrx.sys -- (athr) DRV:64bit: - [2009.09.17 21:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64) Intel(R) DRV:64bit: - [2009.08.13 20:20:46 | 001,209,856 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\agrsm64.sys -- (AgereSoftModem) DRV:64bit: - [2009.08.06 13:43:58 | 000,320,040 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\k57nd60a.sys -- (k57nd60a) Broadcom NetLink (TM) DRV:64bit: - [2009.07.22 23:06:26 | 000,040,448 | ---- | M] (Alcor Micro, Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\AmUStor.sys -- (AmUStor) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.25 03:23:24 | 000,205,472 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\RtHDMIVX.sys -- (RTHDMIAzAudService) DRV:64bit: - [2009.06.20 03:09:57 | 000,054,272 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\L1E62x64.sys -- (L1E) NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller(NDIS6.20) DRV:64bit: - [2009.06.10 21:37:05 | 006,108,416 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) DRV:64bit: - [2009.06.10 21:34:38 | 001,311,232 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\BCMWL664.SYS -- (BCM43XX) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.06.05 03:54:36 | 000,408,600 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) DRV:64bit: - [2009.05.25 04:57:42 | 000,243,760 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Apfiltr.sys -- (ApfiltrService) DRV:64bit: - [2009.05.06 01:46:08 | 000,018,432 | ---- | M] (NewTech Infosystems, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\NTIDrvr.sys -- (NTIDrvr) DRV:64bit: - [2009.05.06 01:46:08 | 000,016,896 | ---- | M] (NewTech Infosystems Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\UBHelper.sys -- (UBHelper) DRV:64bit: - [2009.04.29 15:28:30 | 000,030,208 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\KMWDFILTER.sys -- (KMWDFILTER) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.startpage.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Annemarie\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS) O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O4:64bit: - HKLM..\Run: [Acer ePower Management] C:\Programme\Acer\Acer ePower Management\ePowerTray.exe (Acer Incorporated) O4:64bit: - HKLM..\Run: [AmIcoSinglun64] C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe (AlcorMicro Co., Ltd.) O4:64bit: - HKLM..\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [IntelliPoint] c:\Program Files\Microsoft IntelliPoint\ipoint.exe (Microsoft Corporation) O4:64bit: - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [BackupManagerTray] C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (NewTech Infosystems, Inc.) O4 - HKLM..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe (Dritek System Inc.) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKCU..\Run: [AGEIA PhysX SysTray] C:\Program Files (x86)\AGEIA Technologies\bin\TrayIcon.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab (BDSCANONLINE Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{96DAF0D0-DC79-4107-A5B3-C9664AC80736}: DhcpNameServer = 192.168.2.1 O18:64bit: - Protocol\Handler\livecall - No CLSID value found O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found O18:64bit: - Protocol\Handler\msnim - No CLSID value found O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) -C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX:64bit: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Acer VCM.lnk - C:\PROGRA~2\Acer\ACERVC~1\AcerVCM.exe - (Acer Incorporated) MsConfig:64bit - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig:64bit - StartUpReg: Lexmark X5400 Series - hkey= - key= - C:\Program Files (x86)\Lexmark X5400 Series\fm3032.exe () MsConfig:64bit - StartUpReg: lxdvamon - hkey= - key= - C:\Program Files (x86) (x86)\Lexmark X5400 Series\lxdvamon.exe () MsConfig:64bit - StartUpReg: lxdvmon.exe - hkey= - key= - C:\Program Files (x86) (x86)\Lexmark X5400 Series\lxdvmon.exe () MsConfig:64bit - StartUpReg: PlayMovie - hkey= - key= - C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe (Acer Corp.) MsConfig:64bit - State: "startup" - Reg Error: Key error. MsConfig:64bit - State: "bootini" - Reg Error: Key error. CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.12.01 20:44:25 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Desktop\Neuer Ordner (3) [2011.12.01 19:31:31 | 000,000,000 | ---D | C] -- C:\Windows\temp [2011.12.01 19:03:28 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Users\Annemarie\Desktop\OTL.exe [2011.11.25 18:23:56 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Documents\Verschiedenes [2011.11.24 22:23:30 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Documents\Debeka [2011.11.24 00:52:24 | 000,000,000 | R--D | C] -- C:\Users\Annemarie\Schach [2011.11.23 03:39:00 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Desktop\Neuer Ordner (2) [2011.11.23 00:09:48 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis [2011.11.23 00:09:47 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Trend Micro [2011.11.22 04:51:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sophos [2011.11.22 04:51:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Sophos [2011.11.19 18:48:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Security Client [2011.11.19 18:48:51 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Security Client [2011.11.18 14:28:17 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\AppData\Local\MigWiz [2011.11.17 16:49:20 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\Macromed [2011.11.11 14:59:17 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Desktop\MS Office PDF [2011.11.11 14:59:15 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Desktop\Mathe [2011.11.11 14:59:15 | 000,000,000 | ---D | C] -- C:\Users\Annemarie\Desktop\Links [2011.11.08 19:31:45 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\TARGA USB HDD [2011.11.08 19:31:45 | 000,000,000 | ---D | C] -- C:\Windows\System\IOSUBSYS [2011.11.04 18:21:55 | 000,055,384 | ---- | C] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys [2011.11.04 18:18:54 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\DRVSTORE [2010.04.03 21:15:37 | 001,069,056 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvserv.dll [2010.04.03 21:15:37 | 000,954,368 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvusb1.dll [2010.04.03 21:15:37 | 000,643,072 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvpmui.dll [2010.04.03 21:15:37 | 000,569,344 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvlmpm.dll [2010.04.03 21:15:37 | 000,360,448 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvinpa.dll [2010.04.03 21:15:37 | 000,339,968 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdviesc.dll [2010.04.03 21:15:37 | 000,053,248 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvprox.dll [2010.04.03 21:15:36 | 000,851,968 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvcomc.dll [2010.04.03 21:15:36 | 000,663,552 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvhbn3.dll [2010.04.03 21:15:36 | 000,594,600 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvcoms.exe [2010.04.03 21:15:36 | 000,364,544 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvcomm.dll [2010.04.03 21:15:36 | 000,320,168 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvih.exe [2010.04.03 21:15:35 | 000,365,224 | ---- | C] ( ) -- C:\Windows\SysWow64\lxdvcfg.exe [2010.04.03 21:11:39 | 000,671,744 | ---- | C] ( ) -- C:\Windows\SysWow64\LXDVhcp.dll [2009.11.05 04:33:04 | 000,036,136 | ---- | C] (Oberon Media) -- C:\ProgramData\FullRemove.exe [8 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] [17 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] [17 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.01 20:39:53 | 000,017,376 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2011.12.01 20:39:53 | 000,017,376 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2011.12.01 20:32:42 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.12.01 20:32:40 | 3111,518,208 | -HS- | M] () -- C:\hiberfil.sys [2011.12.01 19:03:32 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\Annemarie\Desktop\OTL.exe [2011.12.01 17:45:26 | 000,000,355 | ---- | M] () -- C:\Users\Annemarie\Computer - Verknüpfung.lnk [2011.11.23 17:06:13 | 000,007,653 | ---- | M] () -- C:\Users\Annemarie\AppData\Local\resmon.resmoncfg [2011.11.23 00:44:53 | 001,505,034 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2011.11.23 00:44:53 | 000,656,372 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2011.11.23 00:44:53 | 000,618,214 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2011.11.23 00:44:53 | 000,131,112 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2011.11.23 00:44:53 | 000,107,494 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2011.11.23 00:18:09 | 000,001,699 | ---- | M] () -- C:\Users\Annemarie\Desktop\HiJackThis.exe - Verknüpfung.lnk [2011.11.19 18:49:44 | 000,001,912 | ---- | M] () -- C:\Windows\epplauncher.mif [2011.11.19 18:49:04 | 001,526,948 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2011.11.11 20:21:57 | 000,376,016 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT [2011.11.08 19:31:04 | 000,032,768 | ---- | M] () -- C:\Windows\SysWow64\MWLPS.dll [2011.11.04 18:21:55 | 000,055,384 | ---- | M] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys [8 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] [17 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] [17 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.01 17:45:26 | 000,000,355 | ---- | C] () -- C:\Users\Annemarie\Computer - Verknüpfung.lnk [2011.11.23 00:18:09 | 000,001,699 | ---- | C] () -- C:\Users\Annemarie\Desktop\HiJackThis.exe - Verknüpfung.lnk [2011.11.19 18:48:55 | 000,001,934 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Security Essentials.lnk [2011.11.08 19:31:37 | 000,032,768 | ---- | C] () -- C:\Windows\SysWow64\MWLPS.dll [2011.10.27 18:01:18 | 000,098,304 | ---- | C] () -- C:\Windows\SysWow64\redmonnt.dll [2011.01.29 17:43:59 | 001,526,948 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2011.01.29 17:40:16 | 000,000,534 | ---- | C] () -- C:\Windows\eReg.dat [2010.12.26 14:44:13 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2010.08.19 21:00:51 | 000,024,576 | ---- | C] () -- C:\Windows\CmiUSBUninstall.exe [2010.08.19 21:00:50 | 000,000,474 | ---- | C] () -- C:\Windows\Cmuda2.ini [2010.04.05 18:44:18 | 000,007,653 | ---- | C] () -- C:\Users\Annemarie\AppData\Local\resmon.resmoncfg [2010.04.03 21:15:39 | 000,385,024 | ---- | C] () -- C:\Windows\SysWow64\lxdvcomx.dll [2010.04.03 21:15:37 | 000,348,160 | ---- | C] () -- C:\Windows\SysWow64\LXDVinst.dll [2010.04.03 21:12:24 | 000,000,047 | ---- | C] () -- C:\Windows\WinInit.Ini [2010.04.03 21:11:38 | 000,300,032 | ---- | C] () -- C:\Windows\SysWow64\lxdvgrd.dll [2010.03.01 21:09:37 | 000,000,350 | ---- | C] () -- C:\Users\Annemarie\AppData\Roaming\wklnhst.dat [2010.01.24 17:32:13 | 000,001,743 | ---- | C] () -- C:\Windows\WPatchProgress.ini [2010.01.24 09:17:43 | 000,000,033 | ---- | C] () -- C:\Windows\LaunApp.ini [2010.01.24 08:55:45 | 000,626,688 | ---- | C] () -- C:\Windows\Image.dll [2010.01.24 08:55:45 | 000,020,480 | ---- | C] () -- C:\Windows\USB_VIDEO_REG.exe [2010.01.24 08:55:45 | 000,000,323 | ---- | C] () -- C:\Windows\PidList.ini [2010.01.24 08:54:00 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2009.11.05 01:21:23 | 000,000,193 | ---- | C] () -- C:\Windows\Prelaunch.ini [2009.11.05 01:21:23 | 000,000,168 | ---- | C] () -- C:\Windows\WisLangCode.ini [2009.11.05 01:21:23 | 000,000,147 | ---- | C] () -- C:\Windows\WisPriority.ini [2009.07.14 06:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2009.07.14 03:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT [2009.07.14 03:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat [2009.07.14 01:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll [2009.07.13 22:59:36 | 000,982,196 | ---- | C] () -- C:\Windows\SysWow64\igkrng500.bin [2009.07.13 22:59:36 | 000,139,824 | ---- | C] () -- C:\Windows\SysWow64\igfcg500.bin [2009.07.13 22:59:36 | 000,097,448 | ---- | C] () -- C:\Windows\SysWow64\igfcg500m.bin [2009.07.13 22:59:35 | 000,417,344 | ---- | C] () -- C:\Windows\SysWow64\igcompkrng500.bin [2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll [2009.06.10 22:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat [2009.01.05 14:44:10 | 000,053,248 | ---- | C] () -- C:\Windows\bdoscandel.exe [2009.01.05 14:44:10 | 000,000,453 | ---- | C] () -- C:\Windows\bdoscandellang.ini [2007.06.19 08:59:36 | 000,070,400 | ---- | C] () -- C:\Windows\SysWow64\PhysXLoader.dll [2007.04.20 07:57:30 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelTraditionalChinese.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSwedish.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSpanish.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSimplifiedChinese.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelPortugese.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelKorean.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelJapanese.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelGerman.dll [2007.04.20 07:57:28 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelFrench.dll ========== LOP Check ========== [2011.08.26 15:22:44 | 000,000,000 | -HSD | M] -- C:\Users\Annemarie\AppData\Roaming\.# [2010.04.05 14:26:24 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 [2011.08.25 21:24:57 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\eSobi [2010.03.27 15:38:15 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\GameConsole [2010.04.03 21:51:23 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\Lexmark Productivity Studio [2011.10.29 22:07:55 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\LibreOffice [2010.09.07 19:00:12 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\Octoshape [2011.09.03 17:24:02 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\Opera [2011.09.01 02:31:08 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\PowerCinema [2011.10.13 00:45:35 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\SoftDMA [2010.03.01 21:10:23 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\Template [2011.08.31 23:14:06 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\TS3Client [2011.08.26 13:14:43 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\ViquaSoft [2010.04.03 21:44:15 | 000,000,000 | ---D | M] -- C:\Users\Annemarie\AppData\Roaming\X5400 Series [2011.11.16 18:20:30 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2010.06.10 23:18:06 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin [2011.01.18 17:00:03 | 000,000,000 | ---D | M] -- C:\67cc1a6f9e33202430e074f586509532 [2010.01.24 09:03:57 | 000,000,000 | ---D | M] -- C:\BOOK [2009.07.14 06:08:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings [2010.02.27 17:51:04 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen [2010.02.27 18:25:39 | 000,000,000 | ---D | M] -- C:\elements [2009.11.05 01:37:23 | 000,000,000 | ---D | M] -- C:\Intel [2010.04.03 20:03:48 | 000,000,000 | ---D | M] -- C:\lexmark [2010.07.27 17:57:40 | 000,000,000 | ---D | M] -- C:\Lexmark Productivity Studio [2010.04.03 21:41:33 | 000,000,000 | ---D | M] -- C:\logs [2009.11.05 04:21:17 | 000,000,000 | RH-D | M] -- C:\MSOCache [2010.02.27 17:51:17 | 000,000,000 | -H-D | M] -- C:\oem [2009.07.14 04:20:08 | 000,000,000 | ---D | M] -- C:\PerfLogs [2011.11.19 18:48:51 | 000,000,000 | R--D | M] -- C:\Program Files [2011.11.25 19:18:45 | 000,000,000 | R--D | M] -- C:\Program Files (x86) [2010.04.03 20:04:37 | 000,000,000 | ---D | M] -- C:\Program Files (x86) (x86) [2011.11.24 00:22:59 | 000,000,000 | -H-D | M] -- C:\ProgramData [2010.02.27 17:51:04 | 000,000,000 | -HSD | M] -- C:\Programme [2010.02.27 17:51:04 | 000,000,000 | -HSD | M] -- C:\Recovery [2011.12.01 20:46:18 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2010.02.27 17:51:09 | 000,000,000 | R--D | M] -- C:\Users [2011.12.01 19:31:33 | 000,000,000 | ---D | M] -- C:\Windows < %PROGRAMFILES%\*.exe > < %LOCALAPPDATA%\*.exe > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.manifest /3 > < MD5 for: EXPLORER.EXE > [2011.02.26 06:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_ba87e574ddfe652d\explorer.exe [2011.02.25 07:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\explorer.exe [2011.02.25 07:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe [2011.02.26 07:14:34 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=3B69712041F3D63605529BD66DC00C48 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe [2010.11.20 13:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_ba2f56d3c4bcbafb\explorer.exe [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\SysWOW64\explorer.exe [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_b9fc4815c4e292b5\explorer.exe [2010.11.20 14:24:45 | 002,872,320 | ---- | M] (Microsoft Corporation) MD5=AC4C51EB24AA95B77F705AB159189E24 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe < MD5 for: REGEDIT.EXE > [2009.07.14 02:39:29 | 000,427,008 | ---- | M] (Microsoft Corporation) MD5=2E2C937846A0B8789E5E91739284D17A -- C:\Windows\winsxs\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_5023a70bf589ad3e\regedit.exe [2009.07.14 02:39:29 | 000,427,008 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\regedit.exe [2009.07.14 02:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\SysWOW64\regedit.exe [2009.07.14 02:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\winsxs\wow64_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_5a78515e29ea6f39\regedit.exe < MD5 for: USERINIT.EXE > [2010.11.20 13:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SysWOW64\userinit.exe [2010.11.20 13:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe [2010.11.20 14:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\SysNative\userinit.exe [2010.11.20 14:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe < MD5 for: WININIT.EXE > [2009.07.14 02:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\SysNative\wininit.exe [2009.07.14 02:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe [2009.07.14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\SysWOW64\wininit.exe [2009.07.14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe < MD5 for: WINLOGON.EXE > [2010.11.20 14:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\SysNative\winlogon.exe [2010.11.20 14:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > ========== Alternate Data Streams ========== @Alternate Data Stream - 153 bytes -> C:\ProgramData\Temp:4D066AD2 @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA @Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838 @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:E1F04E8D @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:444C53BA @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0 @Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885 @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:4CF61E54 < End of report > Code:
ATTFilter OTL Extras logfile created on: 01.12.2011 20:45:04 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Annemarie\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,86 Gb Total Physical Memory | 2,85 Gb Available Physical Memory | 73,70% Memory free
7,73 Gb Paging File | 6,56 Gb Available in Paging File | 84,91% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 286,27 Gb Total Space | 191,20 Gb Free Space | 66,79% Space Free | Partition Type: NTFS
Computer Name: LAPPY | User Name: Annemarie | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
========== Shell Spawning ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DisableUnicastResponsesToMulticastBroadcast" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05BFB060-4F22-4710-B0A2-2801A1B606C5}" = Microsoft Antimalware
"{11F38253-8940-FFDA-D131-B14120C357E4}" = ATI Catalyst Install Manager
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{23170F69-40C1-2702-0465-000001000000}" = 7-Zip 4.65 (x64 edition)
"{26A24AE4-039D-4CA4-87B4-2F86416029FF}" = Java(TM) 6 Update 29 (64-bit)
"{350AA351-21FA-3270-8B7A-835434E766AD}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022
"{42738DB0-FC3E-4672-A99B-9372F5696E30}" = Microsoft Security Client
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{624C7F0A-89B2-4C49-9CAB-9D69613EC95A}" = Microsoft IntelliPoint 8.2
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{A325B368-A9EC-40EF-A95C-9DEAD3683AE3}" = Broadcom Gigabit NetLink Controller
"{BD41C9CA-7722-7C0F-8BFE-E88A81865287}" = ccc-utility64
"{DC911ADF-7B60-40F2-A112-FB1EB6402D07}" = Microsoft Security Client DE-DE Language Pack
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
"CCleaner" = CCleaner
"Defraggler" = Defraggler
"Lexmark X5400 Series" = Lexmark X5400 Series
"LSI Soft Modem" = LSI HDA Modem
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft IntelliPoint 8.2" = Microsoft IntelliPoint 8.2
"Microsoft Security Client" = Microsoft Security Essentials
"Recuva" = Recuva
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{047F790A-7A2A-4B6A-AD02-38092BA63DAC}" = Acer VCM
"{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now Standard
"{14D6085A-9A42-C0B5-823E-8C9619AC1026}" = Catalyst Control Center Graphics Full New
"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FF19BBD-554D-733C-3BDF-B55C99349198}" = Catalyst Control Center Core Implementation
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
"{26A10CD9-E281-4F3F-850E-F41D144B97C6}" = LibreOffice 3.4 Help Pack (German)
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{286033D3-C1C2-458A-B42B-0AC9C4E62B90}" = Scid
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{346D6B7A-4AD8-5C2C-E249-34CA3CD7D34B}" = CCC Help Polish
"{34A0D249-747E-4D6C-803D-329C120C6B79}" = Catalyst Control Center - Branding
"{357C0C30-051F-FE77-4709-025786123FB1}" = ccc-core-static
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3DB0448D-AD82-4923-B305-D001E521A964}" = Acer ePower Management
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{41BC23C5-157F-77A0-6662-17A5096E7946}" = Catalyst Control Center Graphics Previews Vista
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4507185D-FAB8-B77D-4546-2CF31DA906AD}" = Catalyst Control Center Graphics Full Existing
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4967ADB1-27A6-635F-A217-754BD9A05E2E}" = CCC Help Czech
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{54DFD48E-0E0D-5D0C-BD93-CE3DF090EC1C}" = CCC Help Japanese
"{5528C69D-4018-C4BD-7D00-67F90623EB33}" = CCC Help Italian
"{5582C24D-5597-42D2-537E-BA329164D78D}" = CCC Help Thai
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{62F7DA7E-CCCB-439C-A760-00C3926E761F}" = Microsoft Works
"{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components
"{65F1CF63-31E0-450B-96F3-4A88BE7361A6}" = AGEIA PhysX v7.07.09
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7158F6F3-E9F2-4133-8755-401AE64BC2C8}" = USB_20_HDD
"{72B776E5-4530-4C4B-9453-751DF87D9D93}" = Backup Manager Basic
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7760D94E-B1B5-40A0-9AA0-ABF942108755}" = Acer Crystal Eye Webcam
"{7821C7B2-7E21-4CF3-925B-58B6A8BC6311}" = LibreOffice 3.4
"{785F975B-50FB-C523-5E58-C6EFE9E62424}" = CCC Help Portuguese
"{7D62622F-78B7-91B0-5B75-4082DDFAC775}" = CCC Help Swedish
"{7DE2B39B-97F0-EC01-06D6-E25C6D4164DF}" = CCC Help German
"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
"{86286ABC-4081-4BD3-B710-190B314BCE18}" = ChessBase Reader
"{878789F8-276E-4D98-20E6-78DCBD77AD7D}" = CCC Help Turkish
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8F2AE892-C036-C2F8-0D45-0ED891440D68}" = CCC Help French
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0017-0407-0000-0000000FF1CE}" = Microsoft Office SharePoint Designer MUI (German) 2007
"{90120000-0017-0407-0000-0000000FF1CE}_OMUI.de-de_{0B9EAEAC-F271-45DC-BDCB-06ABEEF19825}" = Microsoft Office SharePoint Designer 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_OMUI.de-de_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = 2007 Microsoft Office Suite Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_OMUI.de-de_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002A-0407-1000-0000000FF1CE}_OMUI.de-de_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_OMUI.de-de_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0100-0407-0000-0000000FF1CE}" = Microsoft Office O MUI (German) 2007
"{90120000-0100-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0101-0407-0000-0000000FF1CE}" = Microsoft Office X MUI (German) 2007
"{90120000-0101-0407-0000-0000000FF1CE}_OMUI.de-de_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95D40BD8-2EA7-C51E-A218-B2F863481573}" = CCC Help Chinese Standard
"{98A7C691-304F-31DC-A21C-3675E1D68501}" = CCC Help Chinese Traditional
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A33B56D0-F273-F6C2-C335-50AE0C83C85C}" = CCC Help Finnish
"{A8CB3994-B273-D81E-315C-CA3A8376415E}" = Catalyst Control Center Localization All
"{A8D450FB-F8F7-4250-7CE3-A3C24CDE5722}" = CCC Help Hungarian
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AB82BA59-B05B-70DC-992B-D2D7A2AF4EE5}" = CCC Help Korean
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{BFB59706-4FEC-37A8-96CD-C7F6932AD6DD}" = CCC Help Norwegian
"{C09EECFB-8925-5E54-1580-3FAEB6A78856}" = Catalyst Control Center Graphics Light
"{C0ED2557-8BCC-71B6-253C-BDFE26A9B37D}" = CCC Help Spanish
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{CC62C6C8-0D7F-3F0D-9BD6-49CB16029A6A}" = CCC Help Greek
"{CC6D2A70-B152-E250-ABEA-5D7D681469F8}" = CCC Help English
"{DAFFBC42-ABA2-882C-68CB-593B9CF9ACF5}" = CCC Help Russian
"{DBCE1208-433D-4D3E-A26A-CB1B5E71A8F5}" = Alcor Micro USB Card Reader
"{DFF2D0B9-1706-6AA8-85CD-A70DF44AE3F8}" = CCC Help Danish
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E6AAFC37-EB31-768D-A9A5-AA8A84612615}" = CCC Help Dutch
"{EE171732-BEB4-4576-887D-CB62727F01CA}" = Acer Updater
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F6B7BF58-36D0-A76E-53E2-F65DBD4A6A52}" = Catalyst Control Center InstallProxy
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"Acer Registration" = Acer Registration
"Acer Screensaver" = Acer ScreenSaver
"Acer Welcome Center" = Welcome Center
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Arena 3.0_is1" = Arena 3.0
"C-Media USB Audio" = C-Media USB Audio
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2010-10-10
"GridVista" = Acer GridVista
"Identity Card" = Identity Card
"InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now 5
"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
"InstallShield_{7158F6F3-E9F2-4133-8755-401AE64BC2C8}" = USB_20_HDD
"InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}" = Acer Backup Manager
"InstallShield_{DBCE1208-433D-4D3E-A26A-CB1B5E71A8F5}" = Alcor Micro USB Card Reader
"Lexmark X5400 Series" = Lexmark X5400 Series
"LManager" = Launch Manager
"OMUI.de-de" = Microsoft Office Language Pack 2007 - German/Deutsch
"Opera 11.52.1100" = Opera 11.52
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.20
"StarCraft II" = StarCraft II
"WinLiveSuite_Wave3" = Windows Live Essentials
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape add-in for Adobe Flash Player" = Octoshape add-in for Adobe Flash Player
"Octoshape Streaming Services" = Octoshape Streaming Services
"TeamSpeak 3 Client" = TeamSpeak 3 Client
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 20.08.2011 11:34:28 | Computer Name = Lappy | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 20.08.2011 11:34:28 | Computer Name = Lappy | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 20.08.2011 11:34:28 | Computer Name = Lappy | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 20.08.2011 14:56:27 | Computer Name = Lappy | Source = SideBySide | ID = 16842824
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft
security client\MSESysprep.dll". Fehler in Manifest- oder Richtliniendatei "c:\program
files\microsoft security client\MSESysprep.dll" in Zeile 10. Das imaging-Element
wird als untergeordnetes Element des urn:schemas-microsoft-com:asm.v1^assembly-Elements
angezeigt, das von dieser Windows-Version nicht unterstützt wird.
Error - 20.08.2011 14:57:32 | Computer Name = Lappy | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
(x86)\windows live\photo gallery\MovieMaker.Exe". Fehler in Manifest- oder Richtliniendatei
"c:\program files (x86)\windows live\photo gallery\WLMFDS.DLL" in Zeile 8. Die
im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
überein. Verweis: WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
Definition:
WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1". Verwenden Sie
das Programm "sxstrace.exe" für eine detaillierte Diagnose.
Error - 20.08.2011 14:58:30 | Computer Name = Lappy | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\wksdb.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 20.08.2011 14:58:30 | Computer Name = Lappy | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\WksCal.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 20.08.2011 14:58:30 | Computer Name = Lappy | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\wksss.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 20.08.2011 14:58:30 | Computer Name = Lappy | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\WksWP.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 21.08.2011 15:31:09 | Computer Name = Lappy | Source = Windows Backup | ID = 4103
Description =
[ Media Center Events ]
Error - 01.07.2010 15:55:58 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 21:55:58 - Fehler beim Herstellen der Internetverbindung. 21:55:58
- Serververbindung konnte nicht hergestellt werden..
Error - 01.07.2010 15:56:23 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 21:56:03 - Fehler beim Herstellen der Internetverbindung. 21:56:03
- Serververbindung konnte nicht hergestellt werden..
Error - 01.07.2010 16:57:22 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 22:57:20 - Fehler beim Herstellen der Internetverbindung. 22:57:21
- Serververbindung konnte nicht hergestellt werden..
Error - 01.07.2010 16:59:09 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 22:57:32 - Fehler beim Herstellen der Internetverbindung. 22:57:32
- Serververbindung konnte nicht hergestellt werden..
Error - 05.07.2010 08:31:22 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 14:31:22 - Fehler beim Herstellen der Internetverbindung. 14:31:22
- Serververbindung konnte nicht hergestellt werden..
Error - 05.07.2010 08:31:34 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 14:31:28 - Fehler beim Herstellen der Internetverbindung. 14:31:28
- Serververbindung konnte nicht hergestellt werden..
Error - 05.07.2010 09:31:47 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 15:31:47 - Fehler beim Herstellen der Internetverbindung. 15:31:47
- Serververbindung konnte nicht hergestellt werden..
Error - 05.07.2010 09:31:56 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 15:31:52 - Fehler beim Herstellen der Internetverbindung. 15:31:52
- Serververbindung konnte nicht hergestellt werden..
Error - 05.07.2010 14:20:08 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 20:20:08 - Fehler beim Herstellen der Internetverbindung. 20:20:08
- Serververbindung konnte nicht hergestellt werden..
Error - 05.07.2010 14:20:17 | Computer Name = Lappy | Source = MCUpdate | ID = 0
Description = 20:20:13 - Fehler beim Herstellen der Internetverbindung. 20:20:13
- Serververbindung konnte nicht hergestellt werden..
[ System Events ]
Error - 01.12.2011 14:00:29 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 2001
Description = Fehler in %%860 beim Aktualisieren von Signaturen. Neue Signaturversion:
Vorherige Signaturversion: 1.115.2664.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe:
%%852 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803
Benutzer:
NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.7801.0 Fehlercode:
0x8024402c Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
unter "Hilfe und Support".
Error - 01.12.2011 14:02:20 | Computer Name = Lappy | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 01.12.2011 14:20:54 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion. Funktion: %%835 Fehlercode:
0x80004005 Fehlerbeschreibung: Unbekannter Fehler Ursache: %%842
Error - 01.12.2011 14:20:54 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion. Funktion: %%886 Fehlercode:
0x80070420 Fehlerbeschreibung: Es wird bereits eine Instanz des Dienstes ausgeführt.
Ursache: %%892
Error - 01.12.2011 14:31:38 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion. Funktion: %%835 Fehlercode:
0x80004005 Fehlerbeschreibung: Unbekannter Fehler Ursache: %%842
Error - 01.12.2011 14:31:38 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion. Funktion: %%886 Fehlercode:
0x80070420 Fehlerbeschreibung: Es wird bereits eine Instanz des Dienstes ausgeführt.
Ursache: %%892
Error - 01.12.2011 15:32:47 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion. Funktion: %%835 Fehlercode:
0x80004005 Fehlerbeschreibung: Unbekannter Fehler Ursache: %%842
Error - 01.12.2011 15:32:47 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion. Funktion: %%886 Fehlercode:
0x80070420 Fehlerbeschreibung: Es wird bereits eine Instanz des Dienstes ausgeführt.
Ursache: %%892
Error - 01.12.2011 15:36:51 | Computer Name = Lappy | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 01.12.2011 15:42:45 | Computer Name = Lappy | Source = Microsoft Antimalware | ID = 2001
Description = Fehler in %%860 beim Aktualisieren von Signaturen. Neue Signaturversion:
Vorherige Signaturversion: 1.115.2664.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe:
%%852 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803
Benutzer:
NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.7801.0 Fehlercode:
0x8024402c Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
unter "Hilfe und Support".
< End of report >
|
|
01.12.2011, 21:24
| #5 | |
| /// Selecta Jahrusso | Win32.Banker ; W32/AutoRun.blccCombofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort Combofix.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
02.12.2011, 19:11
| #6 |
| | Win32.Banker ; W32/AutoRun.blcc Hi, Es erschien die Meldung das MSE noch aktiv sei. Habe alles deaktiviert. Doch die Meldung kam wieder. (Es wurden wieder zwei Sachen von MSE angezeigt, aber keine Ahnung was ich hätte wo noch deaktivieren müssen.) Wollte abbrechen und das Fenster schliessen doch es startete dann. Liess es dann laufen. Der Registrierungsfehler erschien ebenfalls nach dem automatischen Neustart als ich das gespeicherte log öffnen wollte. Nach dem erneuten Neustart ging es und MSE startete auch wieder. Um MSE vollständig deaktivieren zu können muss man wohl alles deaktivieren und erst einen Neustart machen. Kannst du mir vielleicht sagen was das Programm jetzt genau gemacht hat, mir ist nämlich jetzt aufgefallen das sich ein, zwei Dienste verändert haben. Kann ich diese wieder so einstellen wie ich es möchte? Druckwarteschlange, sekundäre Anmeldung, gemeinsame Nutzung der Internetverbindung starten jetzt automatisch. intelligenter Hintergrundübertragungsdienst = manuell (aus welchem Grund auch immer schaltete sich dieser vorher auch immer von selbst auf manuell). Gruss Anne Code:
ATTFilter ComboFix 11-12-01.03 - Annemarie 02.12.2011 4:19.1.4 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3956.3007 [GMT 1:00]
ausgeführt von:: c:\users\Annemarie\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\programdata\SPL2197.tmp
c:\programdata\SPL25BC.tmp
c:\programdata\SPL405.tmp
c:\programdata\SPL5012.tmp
c:\programdata\SPL5B3B.tmp
c:\programdata\SPL691E.tmp
c:\programdata\SPL7C50.tmp
c:\programdata\SPL7FD9.tmp
c:\programdata\SPL8B52.tmp
c:\programdata\SPL9464.tmp
c:\programdata\SPL9B54.tmp
c:\programdata\SPL9D28.tmp
c:\programdata\SPLCF9E.tmp
c:\programdata\SPLE18E.tmp
c:\programdata\SPLE83E.tmp
c:\programdata\SPLE960.tmp
c:\programdata\SPLEE19.tmp
c:\users\Annemarie\AppData\Roaming\.#
c:\windows\iun6002.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-11-02 bis 2011-12-02 ))))))))))))))))))))))))))))))
.
.
2011-12-02 03:25 . 2011-12-02 03:25 69000 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6982BF82-D28C-4162-AB6F-B69828F7DF88}\offreg.dll
2011-11-27 03:34 . 2011-10-06 20:16 8570192 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6982BF82-D28C-4162-AB6F-B69828F7DF88}\mpengine.dll
2011-11-26 17:23 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\B77D.tmp
2011-11-26 17:21 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\6EB9.tmp
2011-11-23 23:52 . 2011-11-25 16:52 -------- d-----r- c:\users\Annemarie\Schach
2011-11-23 00:49 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\71B6.tmp
2011-11-23 00:47 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\DEF8.tmp
2011-11-22 23:48 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\41A2.tmp
2011-11-22 23:46 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\B4CD.tmp
2011-11-22 23:09 . 2011-11-22 23:09 388096 ----a-r- c:\users\Annemarie\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-11-22 23:09 . 2011-11-22 23:09 -------- d-----w- c:\program files (x86)\Trend Micro
2011-11-22 03:56 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\6C0C.tmp
2011-11-22 03:54 . 2011-05-12 13:03 6144 ------w- c:\windows\system32\C63B.tmp
2011-11-22 03:51 . 2011-11-22 03:51 -------- d-----w- c:\program files (x86)\Sophos
2011-11-22 03:45 . 2011-10-06 20:16 8570192 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-11-19 17:51 . 2011-11-19 17:51 917840 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{DEC798EE-64DA-43CE-A15D-FA4B25C38911}\gapaengine.dll
2011-11-19 17:48 . 2011-11-19 17:49 -------- d-----w- c:\program files (x86)\Microsoft Security Client
2011-11-19 17:48 . 2011-11-19 17:49 -------- d-----w- c:\program files\Microsoft Security Client
2011-11-19 14:14 . 2011-10-18 00:27 8570192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BDB73395-E16C-4551-8AF9-2FF2C82DABB4}\mpengine.dll
2011-11-18 13:28 . 2011-11-18 13:31 -------- dc----w- c:\users\Annemarie\AppData\Local\MigWiz
2011-11-17 15:49 . 2011-11-17 15:49 -------- d-----w- c:\windows\system32\Macromed
2011-11-11 19:09 . 2011-10-01 05:45 886784 ----a-w- c:\program files\Common Files\System\wab32.dll
2011-11-11 19:09 . 2011-10-01 04:37 708608 ----a-w- c:\program files (x86)\Common Files\System\wab32.dll
2011-11-11 19:09 . 2011-09-29 16:29 1923952 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-11-11 19:09 . 2011-09-29 04:03 3144704 ----a-w- c:\windows\system32\win32k.sys
2011-11-04 17:21 . 2011-11-04 17:21 55384 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-11-04 17:18 . 2011-11-04 19:14 -------- dc----w- c:\windows\system32\DRVSTORE
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-17 15:49 . 2011-06-06 11:34 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-10-29 20:46 . 2011-10-29 20:46 525544 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-03 03:06 . 2010-07-26 18:23 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGEIA PhysX SysTray"="c:\program files (x86)\AGEIA Technologies\bin\TrayIcon.exe" [2007-04-20 345640]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-09-24 261888]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-12-09 98304]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-11-01 1094736]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux4"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean64.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R3 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\B77D.tmp [x]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2009-06-18 50432]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer ePower Management\ePowerSvc.exe [2009-09-30 844320]
S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-08-28 1150496]
S2 lxdv_device;lxdv_device;c:\windows\system32\lxdvcoms.exe [2007-10-18 1044136]
S2 lxdvCATSCustConnectService;lxdvCATSCustConnectService;c:\windows\system32\spool\DRIVERS\x64\3\\lxdvserv.exe [2007-10-18 33448]
S2 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-09-24 62720]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2009-06-18 144640]
S2 RS_Service;Raw Socket Service;c:\program files (x86)\Acer\Acer VCM\RS_Service.exe [2009-07-10 253952]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2320920]
S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
S3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-07-22 323072]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-29 8312352]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-05-22 295936]
"Acer ePower Management"="c:\program files\Acer\Acer ePower Management\ePowerTray.exe" [2009-09-30 823840]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-08-01 2417032]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.startpage.com/
uLocal Page = c:\windows\system32\blank.htm
mStart Page =
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{96DAF0D0-DC79-4107-A5B3-C9664AC80736}: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{96DAF0D0-DC79-4107-A5B3-C9664AC80736}\371616277716C64613: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{96DAF0D0-DC79-4107-A5B3-C9664AC80736}\75C414E4D2335414435323: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellIconOverlayIdentifiers-{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
ShellIconOverlayIdentifiers-{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} - (no file)
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\bm_installer.exe
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\Annemarie\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\B77D.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-02 04:29:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-12-02 03:29
.
Vor Suchlauf: 14 Verzeichnis(se), 205.060.997.120 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 204.768.550.912 Bytes frei
.
- - End Of File - - 0082BC9821F44B51947627707CBE5626
|
|
02.12.2011, 19:23
| #7 | |
| /// Selecta Jahrusso | Win32.Banker ; W32/AutoRun.blcc Ich gebe keine Infos zu Combofix frei. Darf ich nicht. Zitat:
Deinstalliere bitte Java(TM) 6 Update 22 ESET Online Scanner
Bitte poste in deiner nächsten Antwort log.txt Berichte wie der Rechner läuft
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
04.12.2011, 04:41
| #8 |
| | Win32.Banker ; W32/AutoRun.blcc Hi Ich konnte das log nicht so öffnen wie du es geschrieben hattest. Hab es im Eset Ordner gefunden. Was kannst du denn bis jetzt feststellen? Oder was kannst du mir sagen? Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e3c8b0637b6af540b89704cd3b43ea44
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-04 12:48:27
# local_time=2011-12-04 01:48:27 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 955168 955168 0 0
# compatibility_mode=5893 16776574 100 94 1239809 74584805 0 0
# compatibility_mode=8192 67108863 100 0 3721 3721 0 0
# scanned=197908
# found=0
# cleaned=0
# scan_time=4753
|
|
04.12.2011, 05:09
| #9 |
| /// Selecta Jahrusso | Win32.Banker ; W32/AutoRun.blcc Noch Probleme ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
04.12.2011, 18:29
| #10 |
| | Win32.Banker ; W32/AutoRun.blcc Der Computer läuft denke ich normal. Die vorher erwähnte IsUninst.exe ist mir noch unklar. Ich hatte es auch bei Virustotal prüfen lassen. Kannst du mir darüber etwas sagen? |
|
04.12.2011, 22:25
| #11 |
| /// Selecta Jahrusso | Win32.Banker ; W32/AutoRun.blcc Eine Datei die iwas deinstallieren soll. Die Ergebnisse von VT sind falsch. Solltest du keine weiteren Probleme mehr haben, sind wir hier fertig. Bitte folge diese letzten Schritte. Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code:
ATTFilter Combofix /Uninstall
 Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Hier noch ein paar Tipps zur Absicherung deines Systems. Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti- Viren Software
Zusätzlicher Schutz
Sicheres Browsen
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Performance Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
06.12.2011, 14:22
| #12 |
| | Win32.Banker ; W32/AutoRun.blcc Ok, habe die Bereinigung jetzt beendet. Ich weiß jetzt das mein Freund mit seinem Handy meinen Router gehackt bzw. geknackt hat. Sind da auch die Telefonanlage usw... dann betroffen? Das erklärt wohl auch das mittlerweile ständige auftreten der Opera Turbo-Funktion. Das ist vorher nur selten aufgetreten wohl aufrgund der niedrigen Geschwindigkeit des Routers. Ich hatte von den ganzen Sachen nicht viel gemerkt. Ich glaube er ist vielleicht ein Stalker oder wollte mich ausspionieren. Er hat auch einmal versucht einen Uni-Rechner von mir aus zu benutzen. Seit beginn der Reinigung hier wurde sein Laptop aber nicht mehr an mein Netz angeschlossen. Der Router hatte vorher eine WEP 64bit Verschlüsselung. Ich habe das dann während der Reinigung auf 128bit geändert (mehr war nicht möglich). Diese ist aber wohl wieder mit seinem Handy geknackt worden. Kann sein das er über die Bereinigung bescheid weiß zumal er auch meinen Nicknamen kennt. Hab ich dadurch noch weitere Probleme falls er meine logs hier sehen kann? Sind mein PC und mein Handy überhaupt noch sicher? Geändert von Sacajawea (06.12.2011 um 14:33 Uhr) |
|
06.12.2011, 15:25
| #13 |
| /// Selecta Jahrusso | Win32.Banker ; W32/AutoRun.blcc Sollte das wirklich der Fall sein, kann dir nur die Polizei und nicht ich helfen. Router Zugangsdaten geändert ? Das hat nichts mit der WEP Verschlüsselung zu tun. Warum keine WPA ? Mit den Logfiles kann er nichts anfangen.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
07.12.2011, 20:10
| #14 |
| | Win32.Banker ; W32/AutoRun.blcc Ja, ich habe beides geändert. Wie gesagt eine bessere Verschlüsselung war leider nicht möglich. Ok, danke. Werde dann morgen sofort zur Polizei gehen. Ich denke das sollte klappen ich weiß ja um wen es sich handelt usw.... Kann ich mich dann später vielleicht nochmal für weitere Informationen an dich über PN wenden falls es relevant sein könnte? Wäre ja dann schon gut wenn ich alles möglichst detailliert erzählen könnte. Aber zunächst wäre es nicht schlecht zu wissen ob mein PC jetzt nach dieser Bereinigung sauber ist. Hat Combofix direkt alles erledigt? Und welche Schäden durch diesen RouterHack mit dem Handy entstanden sein könnten? Vielen Dank für deine Hilfe! mfg Anne |
|
07.12.2011, 21:25
| #15 |
| /// Selecta Jahrusso | Win32.Banker ; W32/AutoRun.blcc CF hat für uns vieles erledigt. Was durch den Hack genau getan wurde, kann ich aus der Ferne nicht sagen.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu Win32.Banker ; W32/AutoRun.blcc |
| andere probleme, dateien, firewall, freund, infiziert, laptop, malwarebytes, merkwürdige, nicht mehr, ordner, probleme, prüfen, rechner, recovery, recovery cd, sache, scanner, spiele, viren, virus, virustotal, win, win32.banker, windows, wirklich, zufällig |
Textbox.
Linear-Darstellung
