| |
| |||||||
Log-Analyse und Auswertung: TR/Sirefef.BV.2 // System Check // Desktop unsichtbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.02.2012, 23:06
| #1 |
 |  TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Guten Abend zusammen, es scheinen ja mehrere dieses Problem zu haben in letzter Zeit - beim Besuchen einer vermeintlich sicheren Seite (Fahrrad-Forum) hat Antivir vor Trojanern gewarnt, dann ging es ziemlich schnell - System Check wurde installiert, zahlreiche Popups, Neustart - danach war der Desktop leer, alle Laufwerke ebenfalls leer, alle Programme (Start-Menü) verschwunden bis auf besagtes System Check, der Task-Manager war gesperrt. Über msconfig->Systemstart konnte ich das Programm pdOPCHAeNauu.exe deaktivieren, somit erschien zumindest "System Check" nicht bei jedem Neustart. Den Taskmanager, die Desktop-Symbole sowie den Inhalt der einzelnen Laufwerke habe ich über Regedit bzw. die Ordner/Ansicht-Optionen wiederhergestellt - Inhalt der Laufwere ist noch "unsichtbar" markiert. Es bleiben weiterhin die laufenden Meldungen von Avira, die (noch) unsichtbar markierten Inhalte der Laufwerke, sowie das komplett leere Startmenü. Folgende Viren/Trojaner/Exploits hat Avira bisher genannt: - EXP/CVE-2010-4452.J - TR/Crypt.XPACK.Gen8 - EXP/Pdfjsc.RF.130 - JS/Blacole.AR.3 - TR/Sirefef.BV.2 (kommt am häufigsten) Bisher habe ich abgesehen von den o.g. Maßnahmen (Regedit, Msconfig, Ordneransicht) die folgenden Programme laufen lassen: -Defogger -DDS -GMER - Malwarebytes Anti-Malware - die hierbei gefundenen Schädlinge habe ich über den entsprechenden Knopf in die Quarantäne verschoben und danach neu gestartet. Logs der genannten Programme folgen. DDS ist direkt im Post, attach.txt, gmer.txt sowie Malwarebyte Logs siehe .zip im Anhang. Ich bedanke mich bereits im Vorraus für jegliche Hilfe - julius DDS Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_27
Run by juuu at 18:44:23 on 2012-02-22
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.492 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\Temp\_ex-68.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [4Y3Y0C3A1F7XWW5EEYPD] c:\recycle.bin\B6232F3A739.exe /q
mRun: [ATIPTA] c:\programme\ati technologies\ati control panel\atiptaxx.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [NotebookHardwareControl] "c:\programme\notebook hardware control\nhc.exe" -quiet
mRun: [IntelZeroConfig] "c:\programme\intel\wifi\bin\ZCfgSvc.exe"
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [MozillaAgent] c:\windows\temp\_ex-68.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [DWQueuedReporting] "c:\progra~1\gemein~1\micros~1\dw\dwtrig20.exe" -t
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {38E51477-DDB4-4aed-9D61-D0C193E10749} - {38E51477-DDB4-4aed-9D61-D0C193E10749} {38E51477-DDB4-4aed-9D61-D0C193E10749} - {38e51477-ddb4-4aed-9d61-d0c193e10749}\inprocserver32 does not exist!
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {00000161-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/C/A/7/CA7D2024-EA89-4F15-908C-DA65C1666614/msaud.CAB
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{C1E5B6CC-A7BC-4215-8743-4D059D06A5D7} : DhcpNameServer = 192.168.178.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\gemein~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\juuu\anwendungsdaten\mozilla\firefox\profiles\30i2y6ni.default\
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npstrlnk.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\java\jre6\lib\deploy\jqs\ff
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2009-11-15 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2009-11-15 108289]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2009-11-15 185089]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-11-15 56816]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2009-11-14 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2009-11-14 6100]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [2010-1-23 3768]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2009-10-20 50704]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [2010-1-23 184320]
.
=============== Created Last 30 ================
.
2012-02-20 17:57:26 -------- d-----w- c:\dokumente und einstellungen\juuu\anwendungsdaten\Malwarebytes
2012-02-20 17:57:19 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-02-20 17:57:17 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-20 17:57:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-20 17:36:59 -------- d-sh--w- c:\dokumente und einstellungen\juuu\IETldCache
2012-02-19 17:59:24 6144 -c----w- c:\windows\system32\dllcache\iecompat.dll
2012-02-19 17:59:03 -------- d-----w- c:\windows\ie8updates
2012-02-19 17:57:06 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2012-02-19 17:57:04 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2012-02-19 17:57:04 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2012-02-19 17:57:03 2000384 -c----w- c:\windows\system32\dllcache\iertutil.dll
2012-02-19 17:57:02 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2012-02-19 17:57:02 11082240 -c----w- c:\windows\system32\dllcache\ieframe.dll
2012-02-19 17:57:01 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2012-02-19 17:54:07 -------- dc-h--w- c:\windows\ie8
2012-02-16 22:20:25 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-02-15 17:14:03 3072 -c-h--w- c:\windows\system32\dllcache\iacenc.dll
2012-02-15 17:14:03 3072 ---h--w- c:\windows\system32\iacenc.dll
2012-02-10 21:39:08 -------- d--h--w- c:\dokumente und einstellungen\juuu\lokale einstellungen\anwendungsdaten\.elfohilfe
.
==================== Find3M ====================
.
2012-02-16 22:27:31 22528 ---ha-w- c:\windows\system32\drivers\nhcDriver.sys
2012-01-12 17:20:28 1860096 ---ha-w- c:\windows\system32\win32k.sys
2011-12-17 19:43:23 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43:23 43520 ------w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22:58 385024 ------w- c:\windows\system32\html.iec
2011-11-25 21:57:03 293888 ---ha-w- c:\windows\system32\winsrv.dll
.
============= FINISH: 18:48:03.58 ===============
|
|
23.02.2012, 08:17
| #2 | |
| /// Selecta Jahrusso   | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen. Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort Combofix.txt
__________________ |
|
23.02.2012, 10:04
| #3 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Grüß dich Daniel,
__________________danke dir für die rasche Antwort. Combofix habe ich laufen lassen, Antivir hatte ich zuvor deaktiviert. In einem Pop-up hatte Combofix vor einem .Zeroaccess Rootkit gewarnt, dann folgten ein paar Neustarts. Ich hatte leider vergessen Antivir aus dem Autostart zu nehmen, während des Scans von Combofix (nach Neustart) hat Antivir noch JS/Hiloti.C.1 gefunden --> Quarantäne. Alle Dateien/Ordner sind zumindest nicht mehr unsichtbar, das Startmenü ist auch wieder prall gefüllt. In der Schnellstartleiste befindet sich immer noch ein Link zu System Check (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HxLaqQcvvQXQQ5.exe), die .exe ist dort aber nicht zu finden. Anbei der Logfile von Combofix. Danke dir für die Hilfe, schönen Tag noch und bis später - julius -- Code:
ATTFilter ComboFix 12-02-22.01 - juuu 23.02.2012 9:18.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.636 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\juuu\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\~HxLaqQcvvQXQQ5
c:\dokumente und einstellungen\All Users\Anwendungsdaten\~HxLaqQcvvQXQQ5r
c:\dokumente und einstellungen\All Users\Anwendungsdaten\HxLaqQcvvQXQQ5
c:\dokumente und einstellungen\juuu\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\juuu\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\juuu\Desktop\System Check.lnk
c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\{5CC8B8FC-DF46-4E91-A877-5975BC8E4C7A}
c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\{5CC8B8FC-DF46-4E91-A877-5975BC8E4C7A}\chrome\content\_cfg.js
c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\{5CC8B8FC-DF46-4E91-A877-5975BC8E4C7A}\chrome\content\overlay.xul
c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\{5CC8B8FC-DF46-4E91-A877-5975BC8E4C7A}\install.rdf
c:\dokumente und einstellungen\juuu\WINDOWS
c:\windows\$NtUninstallKB32308$
c:\windows\$NtUninstallKB32308$\2023818901\@
c:\windows\$NtUninstallKB32308$\2023818901\cfg.ini
c:\windows\$NtUninstallKB32308$\2023818901\Desktop.ini
c:\windows\$NtUninstallKB32308$\2023818901\L\ssreoikt
c:\windows\$NtUninstallKB32308$\2023818901\oemid
c:\windows\$NtUninstallKB32308$\2023818901\U\00000001.@
c:\windows\$NtUninstallKB32308$\2023818901\U\00000002.@
c:\windows\$NtUninstallKB32308$\2023818901\U\00000004.@
c:\windows\$NtUninstallKB32308$\2023818901\U\80000000.@
c:\windows\$NtUninstallKB32308$\2023818901\U\80000004.@
c:\windows\$NtUninstallKB32308$\2023818901\U\80000032.@
c:\windows\$NtUninstallKB32308$\2023818901\version
c:\windows\$NtUninstallKB32308$\700291595
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
.
Infizierte Kopie von c:\windows\system32\drivers\mrxsmb.sys wurde gefunden und desinfiziert
Kopie von - The cat found it :) wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-23 bis 2012-02-23 ))))))))))))))))))))))))))))))
.
.
2012-02-20 19:44 . 2012-02-20 19:44 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-02-20 19:44 . 2012-02-20 19:44 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\dokumente und einstellungen\juuu\Anwendungsdaten\Malwarebytes
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-20 17:57 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-20 17:39 . 2012-02-20 17:39 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2012-02-20 17:36 . 2012-02-20 17:36 -------- d-sh--w- c:\dokumente und einstellungen\juuu\IETldCache
2012-02-19 17:59 . 2011-08-16 10:45 6144 -c----w- c:\windows\system32\dllcache\iecompat.dll
2012-02-19 17:57 . 2011-12-17 19:43 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2012-02-19 17:57 . 2011-12-17 19:43 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2012-02-19 17:57 . 2011-12-17 19:43 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2012-02-19 17:57 . 2011-12-17 19:43 2000384 -c----w- c:\windows\system32\dllcache\iertutil.dll
2012-02-19 17:57 . 2011-12-18 13:43 11082240 -c----w- c:\windows\system32\dllcache\ieframe.dll
2012-02-19 17:57 . 2011-12-17 19:43 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2012-02-19 17:57 . 2011-12-17 19:43 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2012-02-19 17:56 . 2012-02-19 17:56 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-02-19 17:56 . 2012-02-19 17:56 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2012-02-19 17:54 . 2012-02-19 17:55 -------- dc-h--w- c:\windows\ie8
2012-02-16 22:50 . 2012-02-16 22:50 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-02-16 22:20 . 2012-02-23 06:58 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-02-15 17:14 . 2012-01-11 19:06 3072 -c-h--w- c:\windows\system32\dllcache\iacenc.dll
2012-02-15 17:14 . 2012-01-11 19:06 3072 ---h--w- c:\windows\system32\iacenc.dll
2012-02-10 21:39 . 2012-02-10 21:39 -------- d--h--w- c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\.elfohilfe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-16 22:27 . 2009-11-16 18:33 22528 ---ha-w- c:\windows\system32\drivers\nhcDriver.sys
2012-01-12 17:20 . 2004-11-11 12:00 1860096 ---ha-w- c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2004-11-11 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2004-11-11 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2004-11-11 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2004-11-11 12:00 385024 ------w- c:\windows\system32\html.iec
2011-11-25 21:57 . 2004-11-11 12:00 293888 ---ha-w- c:\windows\system32\winsrv.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2009-11-03 1372160]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 434528]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Password.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Password.lnk
backup=c:\windows\pss\Password.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ---ha-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ---ha-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2009-11-03 14:35 1202448 ---ha-w- c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-11-12 23:24 421736 ---ha-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 2200 Series]
2004-02-13 06:08 57344 ---h--w- c:\programme\Lexmark 2200 Series\lxbvbmgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-06 00:27 26102056 ---ha-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 11:06 254696 ---ha-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.11.2009 18:44 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14.11.2009 20:50 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14.11.2009 20:50 6100]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [23.01.2010 13:09 3768]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 19:19 50704]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [23.01.2010 13:09 184320]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.12.2009 18:44 691696]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
nsm1bus
DCamUSBSQTECH
sisperf
ADSMService
mcdbus
tandpl
DELTA
UsbserFilt
L8042Kbd
deckzpsx
sfdrv01
ATIVTUTW
ATKGFNEXSrv
NCPro
iaimfp3
AtcL002
BTSLBCSP
hwdatacard
sndsrvc
websensecommunicationagent
ha10kx2k
SE27obex
avp
fasttrackinstallerservice
w550mgmt
EACSvrMngr
sit_flt
nvidesm
wanminiportservice
alertservice
db2jds
thotkey
networkx
NWSLP
uphclean
alcxsens
vmkbd
vzfw
U81xmdm
merakpop3
pccsmcfd
speakerphone
A88xEnc
winachsf
Eplpdx02
driverhardwarev2
CTSYN
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-23 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-13 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\juuu\Anwendungsdaten\Mozilla\Firefox\Profiles\30i2y6ni.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-pdOPCHAeNauu - c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdOPCHAeNauu.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-23 09:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1536)
c:\windows\system32\webcheck.dll
c:\windows\system32\netprovcredman.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-23 09:39:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-02-23 08:39
.
Vor Suchlauf: 5,286,109,184 Bytes frei
Nach Suchlauf: 5,905,817,600 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 4BB75EC3243F8FD489BF6380BCC9CA79
|
|
23.02.2012, 18:33
| #4 | |
| /// Selecta Jahrusso | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Hy Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
Zitat:
Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier. Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%systemroot%\system32\*.dll /3
/md5start
*mspmsnsv*
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
Bitte poste in deiner nächsten Antwort VT Link OTL.txt Extras.txt TDSSKiller Log
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
24.02.2012, 19:28
| #5 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Moin Daniel, anbei die folgenden Inhalte: - VT-Link - OTL.txt - Extras.txt - Tdsskiller.....txt VT https://www.virustotal.com/file/9eb9e7befff061e1bababb13c6c9194e835e53f2d550f5c666f5a4b2fac2b6d5/analysis/1330106847/ OTL Code:
ATTFilter OTL logfile created on: 24.02.2012 19:10:52 - Run 1 OTL by OldTimer - Version 3.2.33.2 Folder = C:\Dokumente und Einstellungen\juuu\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023.36 Mb Total Physical Memory | 680.05 Mb Available Physical Memory | 66.45% Memory free 2.40 Gb Paging File | 2.06 Gb Available in Paging File | 85.77% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19.53 Gb Total Space | 5.46 Gb Free Space | 27.94% Space Free | Partition Type: NTFS Drive D: | 54.99 Gb Total Space | 47.83 Gb Free Space | 86.99% Space Free | Partition Type: NTFS Computer Name: JULIUS | User Name: juuu | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.02.24 19:09:07 | 000,583,680 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\juuu\Desktop\OTL.exe PRC - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2011.06.09 12:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.11.03 15:48:54 | 000,874,768 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe PRC - [2009.11.03 15:45:48 | 001,372,160 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe PRC - [2009.11.03 15:42:00 | 000,909,312 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe PRC - [2009.11.03 15:33:48 | 000,473,360 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.05.04 01:33:22 | 002,629,632 | ---- | M] (hxxp://www.pbus-167.com) -- C:\Programme\Notebook Hardware Control\nhc.exe PRC - [2004.04.19 14:12:08 | 000,045,056 | ---- | M] ( ) -- C:\WINDOWS\system32\slserv.exe ========== Modules (No Company Name) ========== MOD - [2012.02.16 19:01:08 | 000,998,400 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\a2a14380e8c9149d5b212d0100ef588a\System.Management.ni.dll MOD - [2012.02.16 19:01:01 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\94a40f415bfa947e251888bbe88bb973\System.Configuration.ni.dll MOD - [2012.02.16 19:01:00 | 004,878,336 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\nhc\47192ae1533a3f017f77293bc936b361\nhc.ni.exe MOD - [2012.02.16 18:51:11 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\77e1279cbf4eecfb0284b63316fe43fe\System.Xml.ni.dll MOD - [2012.02.16 18:51:04 | 012,430,848 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ad99ac6b5666edb8ee742dd64f9578af\System.Windows.Forms.ni.dll MOD - [2012.02.16 18:50:48 | 001,587,200 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\9351cf29bb1ba951e45a9b3b0edab937\System.Drawing.ni.dll MOD - [2012.02.16 18:49:14 | 007,953,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\9e3803cd2a11f056291862e306a8e2b2\System.ni.dll MOD - [2011.10.15 12:07:05 | 011,490,816 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\ca87ba84221991839abbe7d4bc9c6721\mscorlib.ni.dll MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll MOD - [2009.11.03 15:35:46 | 000,200,704 | ---- | M] () -- C:\Programme\Intel\WiFi\bin\iWMSProv.dll MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2009.01.28 16:03:49 | 000,326,401 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2006.12.04 09:25:14 | 000,022,723 | R--- | M] () -- C:\WINDOWS\system32\clpa1l3.dll MOD - [2004.06.10 22:46:34 | 000,086,016 | ---- | M] () -- C:\WINDOWS\system32\ati2evxx.dll MOD - [2003.12.05 08:42:00 | 000,078,336 | ---- | M] () -- C:\WINDOWS\system32\spool\prtprocs\w32x86\LXBVPP5C.DLL MOD - [2001.10.28 15:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- -- (winachsf) SRV - File not found [Auto | Stopped] -- -- (websensecommunicationagent) SRV - File not found [Auto | Stopped] -- -- (wanminiportservice) SRV - File not found [Auto | Stopped] -- -- (w550mgmt) SRV - File not found [Auto | Stopped] -- -- (vzfw) SRV - File not found [Auto | Stopped] -- -- (vmkbd) SRV - File not found [Auto | Stopped] -- -- (UsbserFilt) SRV - File not found [Auto | Stopped] -- -- (uphclean) SRV - File not found [Auto | Stopped] -- -- (U81xmdm) SRV - File not found [Auto | Stopped] -- -- (thotkey) SRV - File not found [Auto | Stopped] -- -- (tandpl) SRV - File not found [Auto | Stopped] -- -- (speakerphone) SRV - File not found [Auto | Stopped] -- -- (sndsrvc) SRV - File not found [Auto | Stopped] -- -- (sit_flt) SRV - File not found [Auto | Stopped] -- -- (sisperf) SRV - File not found [Auto | Stopped] -- -- (sfdrv01) SRV - File not found [Auto | Stopped] -- -- (SE27obex) SRV - File not found [Auto | Stopped] -- -- (pccsmcfd) SRV - File not found [Auto | Stopped] -- -- (NWSLP) SRV - File not found [Auto | Stopped] -- -- (nvidesm) SRV - File not found [Auto | Stopped] -- -- (nsm1bus) SRV - File not found [Auto | Stopped] -- -- (networkx) SRV - File not found [Auto | Stopped] -- -- (NCPro) SRV - File not found [Auto | Stopped] -- -- (merakpop3) SRV - File not found [Auto | Stopped] -- -- (mcdbus) SRV - File not found [Auto | Stopped] -- -- (L8042Kbd) SRV - File not found [Auto | Stopped] -- -- (iaimfp3) SRV - File not found [Auto | Stopped] -- -- (hwdatacard) SRV - File not found [Auto | Stopped] -- -- (ha10kx2k) SRV - File not found [Auto | Stopped] -- -- (fasttrackinstallerservice) SRV - File not found [Auto | Stopped] -- -- (Eplpdx02) SRV - File not found [Auto | Stopped] -- -- (EACSvrMngr) SRV - File not found [Auto | Stopped] -- -- (driverhardwarev2) SRV - File not found [Auto | Stopped] -- -- (DELTA) SRV - File not found [Auto | Stopped] -- -- (deckzpsx) SRV - File not found [Auto | Stopped] -- -- (DCamUSBSQTECH) SRV - File not found [Auto | Stopped] -- -- (db2jds) SRV - File not found [Auto | Stopped] -- -- (CTSYN) SRV - File not found [Auto | Stopped] -- -- (BTSLBCSP) SRV - File not found [Auto | Stopped] -- -- (avp) SRV - File not found [Auto | Stopped] -- -- (ATKGFNEXSrv) SRV - File not found [Auto | Stopped] -- -- (ATIVTUTW) SRV - File not found [Auto | Stopped] -- -- (AtcL002) SRV - File not found [Auto | Stopped] -- -- (alertservice) SRV - File not found [Auto | Stopped] -- -- (alcxsens) SRV - File not found [Auto | Stopped] -- -- (ADSMService) SRV - File not found [Auto | Stopped] -- -- (A88xEnc) SRV - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2009.11.03 15:48:54 | 000,874,768 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\WiFi\bin\EvtEng.exe -- (EvtEng) Intel(R) SRV - [2009.11.03 15:42:00 | 000,909,312 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe -- (S24EventMonitor) Intel(R) SRV - [2009.11.03 15:33:48 | 000,473,360 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc) Intel(R) SRV - [2009.10.20 19:19:48 | 000,117,264 | ---- | M] (CACE Technologies, Inc.) [On_Demand | Stopped] -- C:\Programme\WinPcap\rpcapd.exe -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental) SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2008.04.17 13:30:14 | 000,184,320 | ---- | M] (SoundMovieServer) [On_Demand | Stopped] -- C:\WINDOWS\System32\snmvtsvc.exe -- (SoundMovieServer) SRV - [2006.10.26 19:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2004.04.19 14:12:08 | 000,045,056 | ---- | M] ( ) [Auto | Running] -- C:\WINDOWS\System32\slserv.exe -- (SLService) ========== Driver Services (SafeList) ========== DRV - [2012.02.24 18:54:42 | 000,022,528 | ---- | M] (pBUS-167 Software - hxxp://www.pbus-167.com) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nhcDriver.sys -- (nhcDriverDevice) DRV - [2009.12.12 18:44:57 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - [2009.12.11 17:57:14 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.11.11 04:26:02 | 002,216,064 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R) DRV - [2009.10.20 19:19:44 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.08.13 16:23:56 | 000,011,904 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans) DRV - [2008.04.17 11:57:48 | 000,003,768 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MovRVDrv32.sys -- (MovRVDrv32) DRV - [2008.04.17 11:57:46 | 000,508,544 | ---- | M] (Windows (R) 2000/XP) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SndTDriverV32.sys -- (SndTDriverV32) DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) DRV - [2004.07.23 16:43:26 | 000,159,488 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vinyl97.sys -- (VIAudio) Vinyl AC'97 Audio Controller (WDM) DRV - [2004.06.10 22:57:04 | 000,746,496 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2004.04.19 11:50:20 | 000,013,912 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\RecAgent.sys -- (RecAgent) DRV - [2004.04.19 11:42:26 | 000,635,152 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slntamr.sys -- (Slntamr) DRV - [2004.04.19 11:34:36 | 000,095,760 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slnthal.sys -- (SlNtHal) DRV - [2004.04.19 11:33:24 | 000,230,656 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mtlmnt5.sys -- (Mtlmnt5) DRV - [2004.04.19 11:26:08 | 001,301,488 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtlstrm.sys -- (Mtlstrm) DRV - [2004.04.19 11:15:12 | 000,180,664 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ntmtlfax.sys -- (NtMtlFax) DRV - [2004.04.19 11:04:48 | 000,013,312 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slwdmsup.sys -- (SlWdmSup) DRV - [2004.04.13 20:14:12 | 000,070,144 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp) DRV - [2004.03.08 03:43:10 | 001,657,344 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w22n51.sys -- (w22n51) Intel(R) DRV - [2004.02.12 01:18:00 | 000,191,092 | ---- | M] (O2 Micro ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\o2mmb.sys -- (CONAN) DRV - [2004.01.27 23:00:00 | 000,006,100 | ---- | M] (O2 Micro) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MbxStby.sys -- (MbxStby) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}:6.0.27 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.0.3: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.27\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.02.20 19:19:24 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.27\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.02.20 19:19:24 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.10.17 13:49:44 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.01.05 15:53:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Mozilla\Extensions [2010.09.11 19:37:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.01.05 15:53:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Mozilla\Extensions\songbird@songbirdnest.com [2011.02.17 18:07:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Mozilla\Firefox\Profiles\30i2y6ni.default\extensions [2012.02.24 19:09:58 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.02.26 22:46:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.05.08 21:58:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2011.09.05 22:15:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} [2011.02.26 22:45:44 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2009.12.18 00:37:59 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.07.19 04:05:25 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2008.12.19 00:30:20 | 000,106,128 | ---- | M] ( ) -- C:\Programme\mozilla firefox\plugins\npstrlnk.dll [2011.10.16 00:05:36 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.10.16 00:05:36 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.10.16 00:05:36 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.16 00:05:36 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.16 00:05:36 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.02.23 09:30:28 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe (Intel(R) Corporation) O4 - HKLM..\Run: [NotebookHardwareControl] C:\Programme\Notebook Hardware Control\nhc.exe (hxxp://www.pbus-167.com) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O9 - Extra Button: Rip YouTube File - {38E51477-DDB4-4aed-9D61-D0C193E10749} - C:\Programme\SoundTaxi\YouTubeRipper.dll () O9 - Extra 'Tools' menuitem : Rip YouTube file embedded in this page - {38E51477-DDB4-4aed-9D61-D0C193E10749} - C:\Programme\SoundTaxi\YouTubeRipper.dll () O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {00000161-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/C/A/7/CA7D2024-EA89-4F15-908C-DA65C1666614/msaud.CAB (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C1E5B6CC-A7BC-4215-8743-4D059D06A5D7}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll () O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.14 20:13:09 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: nsm1bus - File not found NetSvcs: DCamUSBSQTECH - File not found NetSvcs: sisperf - File not found NetSvcs: ADSMService - File not found NetSvcs: mcdbus - File not found NetSvcs: tandpl - File not found NetSvcs: DELTA - File not found NetSvcs: UsbserFilt - File not found NetSvcs: L8042Kbd - File not found NetSvcs: deckzpsx - File not found NetSvcs: sfdrv01 - File not found NetSvcs: ATIVTUTW - File not found NetSvcs: ATKGFNEXSrv - File not found NetSvcs: NCPro - File not found NetSvcs: iaimfp3 - File not found NetSvcs: AtcL002 - File not found NetSvcs: BTSLBCSP - File not found NetSvcs: hwdatacard - File not found NetSvcs: sndsrvc - File not found NetSvcs: websensecommunicationagent - File not found NetSvcs: ha10kx2k - File not found NetSvcs: SE27obex - File not found NetSvcs: avp - File not found NetSvcs: fasttrackinstallerservice - File not found NetSvcs: w550mgmt - File not found NetSvcs: EACSvrMngr - File not found NetSvcs: sit_flt - File not found NetSvcs: nvidesm - File not found NetSvcs: wanminiportservice - File not found NetSvcs: alertservice - File not found NetSvcs: db2jds - File not found NetSvcs: thotkey - File not found NetSvcs: networkx - File not found NetSvcs: NWSLP - File not found NetSvcs: uphclean - File not found NetSvcs: alcxsens - File not found NetSvcs: vmkbd - File not found NetSvcs: vzfw - File not found NetSvcs: U81xmdm - File not found NetSvcs: merakpop3 - File not found NetSvcs: pccsmcfd - File not found NetSvcs: speakerphone - File not found NetSvcs: A88xEnc - File not found NetSvcs: winachsf - File not found NetSvcs: Eplpdx02 - File not found NetSvcs: driverhardwarev2 - File not found NetSvcs: CTSYN - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Password.lnk - - File not found MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: IntelWireless - hkey= - key= - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe (Intel(R) Corporation) MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.) MsConfig - StartUpReg: Lexmark 2200 Series - hkey= - key= - C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe (Lexmark International, Inc.) MsConfig - StartUpReg: Skype - hkey= - key= - C:\Programme\Skype\Phone\Skype.exe (Skype Technologies S.A.) MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.02.24 19:09:05 | 000,583,680 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\juuu\Desktop\OTL.exe [2012.02.24 18:51:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood [2012.02.23 09:55:12 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2012.02.23 09:12:24 | 000,000,000 | RHSD | C] -- C:\cmdcons [2012.02.23 09:09:11 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2012.02.23 09:09:11 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2012.02.23 09:09:11 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2012.02.23 09:09:11 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2012.02.23 09:09:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2012.02.23 09:06:45 | 000,000,000 | ---D | C] -- C:\Qoobox [2012.02.23 09:05:34 | 004,417,295 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\juuu\Desktop\ComboFix.exe [2012.02.22 18:44:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\juuu\Startmenü\Programme\Verwaltung [2012.02.22 18:44:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\juuu\Eigene Dateien\Eigene Videos [2012.02.22 18:44:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos [2012.02.22 18:43:11 | 000,607,260 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\juuu\Desktop\dds.com [2012.02.20 18:57:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Malwarebytes [2012.02.20 18:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.02.20 18:57:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.02.20 18:57:17 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.02.20 18:57:17 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.02.20 18:36:59 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\juuu\IETldCache [2012.02.19 18:59:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2012.02.19 18:56:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth [2012.02.19 18:56:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM [2012.02.19 18:54:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8 [2012.02.16 23:50:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe [2012.02.16 23:50:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2012.02.16 23:50:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun [2012.02.16 23:28:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\juuu\Startmenü\Programme\System Check [2012.02.16 23:27:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\juuu\Recent [2012.02.10 22:39:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\.elfohilfe [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.02.24 19:09:07 | 000,583,680 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\juuu\Desktop\OTL.exe [2012.02.24 18:59:25 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job [2012.02.24 18:54:42 | 000,022,528 | ---- | M] (pBUS-167 Software - hxxp://www.pbus-167.com) -- C:\WINDOWS\System32\drivers\nhcDriver.sys [2012.02.24 18:52:51 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.02.24 18:49:02 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.02.24 18:49:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.02.24 18:48:59 | 1073,139,712 | -HS- | M] () -- C:\hiberfil.sys [2012.02.23 17:59:16 | 000,029,184 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.02.23 09:30:28 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2012.02.23 09:12:31 | 000,000,327 | RHS- | M] () -- C:\boot.ini [2012.02.23 09:05:44 | 004,417,295 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\juuu\Desktop\ComboFix.exe [2012.02.23 07:58:28 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd [2012.02.22 23:04:31 | 000,012,914 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Desktop\Logfiles.zip [2012.02.22 18:43:11 | 000,607,260 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\juuu\Desktop\dds.com [2012.02.22 18:36:32 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\defogger_reenable [2012.02.22 18:33:53 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Desktop\Defogger.exe [2012.02.20 20:48:40 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Desktop\4dp34hf1.exe [2012.02.20 18:57:20 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.02.16 23:50:27 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.02.16 23:37:22 | 000,000,211 | ---- | M] () -- C:\Boot.bak [2012.02.16 19:19:48 | 000,204,120 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.02.16 18:48:33 | 000,485,786 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.02.16 18:48:33 | 000,463,416 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.02.16 18:48:33 | 000,096,286 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.02.16 18:48:33 | 000,080,412 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.02.10 22:46:43 | 000,080,561 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Desktop\ESt2010_Ranghieri_Julius.elfo [2012.02.10 22:46:31 | 000,004,106 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Desktop\Anschreiben_20120210224556.pdf [2012.02.10 22:45:42 | 000,050,101 | ---- | M] () -- C:\Dokumente und Einstellungen\juuu\Desktop\komprimierte Steuererklärung_ESt2010_Ranghieri_Julius.pdf [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.02.23 09:12:31 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2012.02.23 09:12:26 | 000,262,448 | RHS- | C] () -- C:\cmldr [2012.02.23 09:09:11 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012.02.23 09:09:11 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012.02.23 09:09:11 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012.02.23 09:09:11 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012.02.23 09:09:11 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2012.02.22 23:04:31 | 000,012,914 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\Desktop\Logfiles.zip [2012.02.22 18:34:26 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\defogger_reenable [2012.02.22 18:33:51 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\Desktop\Defogger.exe [2012.02.20 20:48:41 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\Desktop\4dp34hf1.exe [2012.02.20 18:57:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.02.16 23:20:25 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\System32\dds_trash_log.cmd [2012.02.15 18:14:03 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.02.15 18:14:03 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\dllcache\iacenc.dll [2012.02.10 22:46:31 | 000,004,106 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\Desktop\Anschreiben_20120210224556.pdf [2012.02.10 22:45:42 | 000,050,101 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\Desktop\komprimierte Steuererklärung_ESt2010_Ranghieri_Julius.pdf [2012.02.10 22:16:40 | 000,080,561 | ---- | C] () -- C:\Dokumente und Einstellungen\juuu\Desktop\ESt2010_Ranghieri_Julius.elfo [2011.09.05 13:40:57 | 000,005,110 | ---- | C] () -- C:\WINDOWS\Q-Dir.ini [2011.05.08 20:12:36 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Ivuxalepinubesid.dat [2011.05.08 20:12:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Fgasuxer.bin [2011.03.19 11:14:19 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2011.02.27 23:11:51 | 000,069,632 | ---- | C] () -- C:\WINDOWS\RAUNINST.EXE [2010.10.05 23:07:06 | 000,000,327 | ---- | C] () -- C:\WINDOWS\lexstat.ini [2010.10.05 22:55:25 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbvvs.dll [2010.10.05 22:55:25 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\INSTMON.EXE [2010.10.05 22:54:52 | 000,000,187 | ---- | C] () -- C:\WINDOWS\System32\lxbvcoin.ini [2010.09.13 22:02:20 | 000,022,723 | R--- | C] () -- C:\WINDOWS\System32\clpa1l3.dll [2010.04.29 09:36:58 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010.04.17 09:59:30 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat ========== LOP Check ========== [2009.12.12 18:44:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.01.27 18:59:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DonationCoder [2011.02.21 16:35:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2009.12.12 21:11:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster [2011.12.04 15:06:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2011.02.27 23:09:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\DAEMON Tools Lite [2010.01.27 18:59:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\DonationCoder [2012.02.10 22:04:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\elsterformular [2011.09.25 00:00:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\FreeCAD [2011.09.05 14:20:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Q-Dir [2010.01.05 15:53:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Songbird2 [2010.09.11 19:37:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Thunderbird [2010.01.05 14:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\Trillian [2010.12.17 00:26:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\juuu\Anwendungsdaten\uTorrent [2012.02.24 18:59:25 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job ========== Purity Check ========== ========== Custom Scans ========== < %systemroot%\system32\*.dll /3 > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: EXPLORER.EXE > [2004.11.11 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ERDNT\cache\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe < MD5 for: MSPMSNSV.DLL > [2004.11.11 13:00:00 | 000,025,600 | ---- | M] (Microsoft Corporation) MD5=5FDCCC838CD95F61097D8A637F842AA8 -- C:\WINDOWS\system32\dllcache\mspmsnsv.dll [2004.11.11 13:00:00 | 000,025,600 | ---- | M] (Microsoft Corporation) MD5=5FDCCC838CD95F61097D8A637F842AA8 -- C:\WINDOWS\system32\mspmsnsv.dll < MD5 for: REGEDIT.EXE > [2004.11.11 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ERDNT\cache\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ERDNT\cache\userinit.exe [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.11.11 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2004.11.11 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2012.01.12 18:20:28 | 001,860,096 | ---- | M] (Microsoft Corporation) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-02-24 17:53:00 < > < End of report > Code:
ATTFilter OTL Extras logfile created on: 24.02.2012 19:10:52 - Run 1
OTL by OldTimer - Version 3.2.33.2 Folder = C:\Dokumente und Einstellungen\juuu\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1023.36 Mb Total Physical Memory | 680.05 Mb Available Physical Memory | 66.45% Memory free
2.40 Gb Paging File | 2.06 Gb Available in Paging File | 85.77% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19.53 Gb Total Space | 5.46 Gb Free Space | 27.94% Space Free | Partition Type: NTFS
Drive D: | 54.99 Gb Total Space | 47.83 Gb Free Space | 86.99% Space Free | Partition Type: NTFS
Computer Name: JULIUS | User Name: juuu | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Valve\hl.exe" = C:\Programme\Valve\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{015D937D-9D52-45A4-BDAA-2413938C0564}" = O2Micro MemoryCardBus Windows Driver
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 27
"{3127F76D-5335-4AC7-BD1E-2F5247A23C24}" = iTunes
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3A6AD772-F2F4-49D7-A347-7E233CDC91BB}" = VFF-Füllkörper-Software 3.34
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6E116F45-2F4D-4990-AC20-33840FDA1A79}" = Phreeqc Interactive 2.17.4468
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{81ABC4A0-DE63-11DE-8A39-0800200C9A66}" = FreeCAD 0.11
"{82CE6B7B-9665-4E29-8CE0-DD993484B38D}" = Intel(R) PROSet/Wireless WiFi-Software
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{90120000-0010-0409-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (English) 12
"{90120000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2007
"{90120000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2007
"{90120000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2007
"{90120000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2007
"{90120000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2007
"{90120000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2007
"{90120000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2007
"{90120000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2007
"{90120000-0044-0409-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (English) 2007
"{90120000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2007
"{90120000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2007
"{90120000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2007
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9ABFB92D-93DA-49EE-8ABF-F8195DE45CA9}" = Counter-Strike 1.6
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{BBBCAE4B-B416-4182-A6F2-438180894A81}" = Napster
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"ElsterFormular 2008 - 2009 2008-2009" = ElsterFormular 2008 - 2009
"ElsterFormular für Privatanwender 12.1.0.6164p" = ElsterFormular für Privatanwender
"ie8" = Windows Internet Explorer 8
"InstallShield_{015D937D-9D52-45A4-BDAA-2413938C0564}" = O2Micro MemoryCardBus Windows Driver
"Lexmark 2200 Series" = Lexmark 2200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"Notebook Hardware Control" = Notebook Hardware Control 2.0 Pre-Release-06
"ProInst" = Intel PROSet Wireless
"PROPLUS" = Microsoft Office Professional Plus 2007
"Q-Dir" = Q-Dir
"RealBot_is1" = RealBot Version 1.0
"Red Alert" = Red Alert Windows 95
"SLAMRNTV" = Smart Link 56K Modem
"Songbird-release-2160" = Songbird 1.10.1 (Build 2160)
"SoundTaxi_is1" = SoundTaxi 3.4.2
"Trillian" = Trillian
"URLSnooper 2_is1" = URL Snooper v2.26.01
"uTorrent" = µTorrent
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"VLC media player" = VLC media player 1.0.3
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinPcapInst" = WinPcap 4.1.1
"WinRAR archiver" = WinRAR archiver
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 20.12.2011 16:55:35 | Computer Name = JULIUS | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 20.12.2011 16:55:35 | Computer Name = JULIUS | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 94875574
Error - 20.12.2011 16:55:35 | Computer Name = JULIUS | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 94875574
Error - 04.01.2012 18:58:13 | Computer Name = JULIUS | Source = ESENT | ID = 490
Description = svchost (1176) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 04.01.2012 19:01:06 | Computer Name = JULIUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 6.0.2900.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 23.01.2012 13:48:15 | Computer Name = JULIUS | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 23.01.2012 13:48:15 | Computer Name = JULIUS | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 88355488
Error - 23.01.2012 13:48:15 | Computer Name = JULIUS | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 88355488
Error - 16.02.2012 13:47:08 | Computer Name = JULIUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung thunderbird.exe, Version 7.0.1.4289, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 22.02.2012 13:14:50 | Computer Name = JULIUS | Source = ESENT | ID = 490
Description = svchost (1172) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
[ OSession Events ]
Error - 02.04.2010 10:47:40 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1
seconds with 0 seconds of active time. This session ended with a crash.
Error - 02.04.2010 15:18:12 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 7
seconds with 0 seconds of active time. This session ended with a crash.
Error - 02.04.2010 15:21:07 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1
seconds with 0 seconds of active time. This session ended with a crash.
Error - 02.04.2010 15:23:06 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1
seconds with 0 seconds of active time. This session ended with a crash.
Error - 02.04.2010 15:23:09 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 0
seconds with 0 seconds of active time. This session ended with a crash.
Error - 04.04.2010 18:30:16 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 210
seconds with 180 seconds of active time. This session ended with a crash.
Error - 05.04.2010 10:39:52 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 12315
seconds with 120 seconds of active time. This session ended with a crash.
Error - 05.04.2010 10:40:07 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1
seconds with 0 seconds of active time. This session ended with a crash.
Error - 06.04.2010 07:17:38 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 5019
seconds with 4380 seconds of active time. This session ended with a crash.
Error - 06.04.2010 13:21:30 | Computer Name = JULIUS | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 2497
seconds with 2340 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "ASLDRService" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Se26unic" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Dbmang" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Wsearch" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Itchfltr" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Bthusb" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:49:21 | Computer Name = JULIUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Tosporte" wurde mit folgendem Fehler beendet: %%126
Error - 24.02.2012 13:53:56 | Computer Name = JULIUS | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.02.2012 13:53:57 | Computer Name = JULIUS | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 24.02.2012 13:53:57 | Computer Name = JULIUS | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
< End of report >
Code:
ATTFilter 19:23:24.0359 3672 TDSS rootkit removing tool 2.7.14.0 Feb 22 2012 16:54:49
19:23:24.0469 3672 ============================================================
19:23:24.0469 3672 Current date / time: 2012/02/24 19:23:24.0469
19:23:24.0469 3672 SystemInfo:
19:23:24.0469 3672
19:23:24.0469 3672 OS Version: 5.1.2600 ServicePack: 3.0
19:23:24.0469 3672 Product type: Workstation
19:23:24.0469 3672 ComputerName: JULIUS
19:23:24.0469 3672 UserName: juuu
19:23:24.0469 3672 Windows directory: C:\WINDOWS
19:23:24.0469 3672 System windows directory: C:\WINDOWS
19:23:24.0469 3672 Processor architecture: Intel x86
19:23:24.0469 3672 Number of processors: 1
19:23:24.0469 3672 Page size: 0x1000
19:23:24.0469 3672 Boot type: Normal boot
19:23:24.0469 3672 ============================================================
19:23:27.0894 3672 Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
19:23:27.0904 3672 \Device\Harddisk0\DR0:
19:23:27.0904 3672 MBR used
19:23:27.0904 3672 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2711637
19:23:27.0924 3672 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x27116B5, BlocksNum 0x6DF8F4B
19:23:28.0004 3672 Initialize success
19:23:28.0004 3672 ============================================================
19:23:29.0837 2232 ============================================================
19:23:29.0837 2232 Scan started
19:23:29.0837 2232 Mode: Manual;
19:23:29.0837 2232 ============================================================
19:23:30.0978 2232 Abiosdsk - ok
19:23:30.0988 2232 abp480n5 - ok
19:23:31.0049 2232 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
19:23:31.0049 2232 ACPI - ok
19:23:31.0089 2232 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
19:23:31.0089 2232 ACPIEC - ok
19:23:31.0099 2232 adpu160m - ok
19:23:31.0139 2232 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
19:23:31.0139 2232 aec - ok
19:23:31.0199 2232 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
19:23:31.0199 2232 AFD - ok
19:23:31.0219 2232 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
19:23:31.0219 2232 agp440 - ok
19:23:31.0239 2232 Aha154x - ok
19:23:31.0249 2232 aic78u2 - ok
19:23:31.0269 2232 aic78xx - ok
19:23:31.0299 2232 AliIde - ok
19:23:31.0309 2232 amsint - ok
19:23:31.0349 2232 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
19:23:31.0359 2232 Arp1394 - ok
19:23:31.0369 2232 asc - ok
19:23:31.0389 2232 asc3350p - ok
19:23:31.0409 2232 asc3550 - ok
19:23:31.0459 2232 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
19:23:31.0459 2232 AsyncMac - ok
19:23:31.0479 2232 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
19:23:31.0479 2232 atapi - ok
19:23:31.0509 2232 Atdisk - ok
19:23:31.0589 2232 ati2mtag (5e3603e9fba29e01f5ffc108276b3005) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
19:23:31.0619 2232 ati2mtag - ok
19:23:31.0669 2232 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
19:23:31.0679 2232 Atmarpc - ok
19:23:31.0810 2232 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
19:23:31.0810 2232 audstub - ok
19:23:31.0930 2232 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
19:23:31.0930 2232 avgio - ok
19:23:31.0960 2232 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
19:23:31.0970 2232 avgntflt - ok
19:23:32.0000 2232 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
19:23:32.0000 2232 avipbb - ok
19:23:32.0060 2232 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
19:23:32.0060 2232 Beep - ok
19:23:32.0090 2232 catchme - ok
19:23:32.0140 2232 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
19:23:32.0140 2232 cbidf2k - ok
19:23:32.0160 2232 cd20xrnt - ok
19:23:32.0200 2232 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
19:23:32.0200 2232 Cdaudio - ok
19:23:32.0240 2232 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
19:23:32.0240 2232 Cdfs - ok
19:23:32.0260 2232 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
19:23:32.0270 2232 Cdrom - ok
19:23:32.0290 2232 Changer - ok
19:23:32.0330 2232 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
19:23:32.0330 2232 CmBatt - ok
19:23:32.0350 2232 CmdIde - ok
19:23:32.0380 2232 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
19:23:32.0380 2232 Compbatt - ok
19:23:32.0441 2232 CONAN (52a4e2ad9349a837ad602dc97db305d4) C:\WINDOWS\system32\drivers\o2mmb.sys
19:23:32.0451 2232 CONAN - ok
19:23:32.0551 2232 Cpqarray - ok
19:23:32.0581 2232 dac2w2k - ok
19:23:32.0601 2232 dac960nt - ok
19:23:32.0671 2232 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
19:23:32.0671 2232 Disk - ok
19:23:32.0761 2232 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
19:23:32.0791 2232 dmboot - ok
19:23:32.0841 2232 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
19:23:32.0841 2232 dmio - ok
19:23:32.0861 2232 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
19:23:32.0871 2232 dmload - ok
19:23:33.0202 2232 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
19:23:33.0202 2232 DMusic - ok
19:23:33.0222 2232 dpti2o - ok
19:23:33.0252 2232 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
19:23:33.0252 2232 drmkaud - ok
19:23:33.0302 2232 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
19:23:33.0302 2232 Fastfat - ok
19:23:33.0342 2232 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
19:23:33.0342 2232 Fdc - ok
19:23:33.0372 2232 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
19:23:33.0382 2232 Fips - ok
19:23:33.0412 2232 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
19:23:33.0412 2232 Flpydisk - ok
19:23:33.0432 2232 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
19:23:33.0442 2232 FltMgr - ok
19:23:33.0472 2232 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
19:23:33.0472 2232 Fs_Rec - ok
19:23:33.0492 2232 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
19:23:33.0492 2232 Ftdisk - ok
19:23:33.0522 2232 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys
19:23:33.0522 2232 GEARAspiWDM - ok
19:23:33.0642 2232 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
19:23:33.0642 2232 Gpc - ok
19:23:33.0672 2232 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
19:23:33.0672 2232 HidUsb - ok
19:23:33.0702 2232 hpn - ok
19:23:33.0772 2232 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
19:23:33.0782 2232 HTTP - ok
19:23:33.0812 2232 i2omgmt - ok
19:23:33.0822 2232 i2omp - ok
19:23:33.0843 2232 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
19:23:33.0853 2232 i8042prt - ok
19:23:33.0873 2232 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
19:23:33.0873 2232 Imapi - ok
19:23:33.0903 2232 ini910u - ok
19:23:33.0933 2232 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
19:23:33.0933 2232 IntelIde - ok
19:23:33.0973 2232 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
19:23:33.0973 2232 intelppm - ok
19:23:34.0013 2232 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
19:23:34.0013 2232 Ip6Fw - ok
19:23:34.0043 2232 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
19:23:34.0053 2232 IpFilterDriver - ok
19:23:34.0073 2232 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
19:23:34.0073 2232 IpInIp - ok
19:23:34.0113 2232 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
19:23:34.0113 2232 IpNat - ok
19:23:34.0183 2232 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
19:23:34.0183 2232 IPSec - ok
19:23:34.0213 2232 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
19:23:34.0223 2232 IRENUM - ok
19:23:34.0243 2232 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
19:23:34.0253 2232 isapnp - ok
19:23:34.0293 2232 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
19:23:34.0293 2232 Kbdclass - ok
19:23:34.0333 2232 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
19:23:34.0343 2232 kbdhid - ok
19:23:34.0483 2232 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
19:23:34.0493 2232 kmixer - ok
19:23:34.0544 2232 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
19:23:34.0544 2232 KSecDD - ok
19:23:34.0584 2232 lbrtfdc - ok
19:23:34.0664 2232 MbxStby (96330f694bd665b3a0f814ef6b1bbff8) C:\WINDOWS\system32\drivers\MbxStby.sys
19:23:34.0664 2232 MbxStby - ok
19:23:34.0724 2232 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
19:23:34.0724 2232 mnmdd - ok
19:23:34.0754 2232 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
19:23:34.0764 2232 Modem - ok
19:23:34.0804 2232 MODEMCSA (1992e0d143b09653ab0f9c5e04b0fd65) C:\WINDOWS\system32\drivers\MODEMCSA.sys
19:23:34.0804 2232 MODEMCSA - ok
19:23:34.0824 2232 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
19:23:34.0824 2232 Mouclass - ok
19:23:34.0874 2232 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
19:23:34.0884 2232 mouhid - ok
19:23:34.0904 2232 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
19:23:34.0904 2232 MountMgr - ok
19:23:34.0954 2232 MovRVDrv32 (cb48c23769c56977ec3de6df0c6dbb8c) C:\WINDOWS\system32\DRIVERS\MovRVDrv32.sys
19:23:34.0954 2232 MovRVDrv32 - ok
19:23:34.0974 2232 mraid35x - ok
19:23:35.0014 2232 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
19:23:35.0024 2232 MRxDAV - ok
19:23:35.0104 2232 MRxSmb (fb2fccc70f7174c7bf64f48e96d3adf4) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
19:23:35.0114 2232 MRxSmb - ok
19:23:35.0214 2232 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
19:23:35.0214 2232 Msfs - ok
19:23:35.0255 2232 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
19:23:35.0255 2232 MSKSSRV - ok
19:23:35.0295 2232 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
19:23:35.0295 2232 MSPCLOCK - ok
19:23:35.0325 2232 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
19:23:35.0335 2232 MSPQM - ok
19:23:35.0365 2232 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
19:23:35.0365 2232 mssmbios - ok
19:23:35.0415 2232 Mtlmnt5 (2bd5e41dbc10335da517c63126edd9f0) C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys
19:23:35.0425 2232 Mtlmnt5 - ok
19:23:35.0555 2232 Mtlstrm (cd8cd38eb0089825daba33b78c4bca0a) C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys
19:23:35.0595 2232 Mtlstrm - ok
19:23:35.0675 2232 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
19:23:35.0685 2232 Mup - ok
19:23:35.0825 2232 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
19:23:35.0835 2232 NDIS - ok
19:23:35.0905 2232 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
19:23:35.0905 2232 NdisTapi - ok
19:23:35.0946 2232 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
19:23:35.0946 2232 Ndisuio - ok
19:23:35.0976 2232 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
19:23:35.0986 2232 NdisWan - ok
19:23:36.0026 2232 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
19:23:36.0036 2232 NDProxy - ok
19:23:36.0056 2232 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
19:23:36.0056 2232 NetBIOS - ok
19:23:36.0096 2232 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
19:23:36.0096 2232 NetBT - ok
19:23:36.0196 2232 nhcDriverDevice (37260a293b6a89373ae76791e6cc5a12) C:\WINDOWS\system32\drivers\nhcDriver.sys
19:23:36.0196 2232 nhcDriverDevice - ok
19:23:36.0226 2232 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
19:23:36.0226 2232 NIC1394 - ok
19:23:36.0276 2232 NPF (b9730495e0cf674680121e34bd95a73b) C:\WINDOWS\system32\drivers\npf.sys
19:23:36.0286 2232 NPF - ok
19:23:36.0336 2232 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
19:23:36.0336 2232 Npfs - ok
19:23:36.0416 2232 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
19:23:36.0436 2232 Ntfs - ok
19:23:36.0546 2232 NtMtlFax (993e68224c0f871015e06039f3a92167) C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys
19:23:36.0556 2232 NtMtlFax - ok
19:23:36.0586 2232 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
19:23:36.0586 2232 Null - ok
19:23:36.0677 2232 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
19:23:36.0677 2232 NwlnkFlt - ok
19:23:36.0727 2232 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
19:23:36.0727 2232 NwlnkFwd - ok
19:23:36.0807 2232 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
19:23:36.0807 2232 ohci1394 - ok
19:23:36.0857 2232 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
19:23:36.0857 2232 Parport - ok
19:23:36.0907 2232 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
19:23:36.0907 2232 PartMgr - ok
19:23:36.0947 2232 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
19:23:36.0947 2232 ParVdm - ok
19:23:36.0987 2232 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
19:23:36.0987 2232 PCI - ok
19:23:37.0007 2232 PCIDump - ok
19:23:37.0057 2232 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
19:23:37.0067 2232 PCIIde - ok
19:23:37.0137 2232 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
19:23:37.0147 2232 Pcmcia - ok
19:23:37.0167 2232 PDCOMP - ok
19:23:37.0197 2232 PDFRAME - ok
19:23:37.0217 2232 PDRELI - ok
19:23:37.0237 2232 PDRFRAME - ok
19:23:37.0257 2232 perc2 - ok
19:23:37.0277 2232 perc2hib - ok
19:23:37.0358 2232 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
19:23:37.0358 2232 PptpMiniport - ok
19:23:37.0408 2232 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
19:23:37.0408 2232 PSched - ok
19:23:37.0478 2232 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
19:23:37.0478 2232 Ptilink - ok
19:23:37.0508 2232 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
19:23:37.0518 2232 PxHelp20 - ok
19:23:37.0538 2232 ql1080 - ok
19:23:37.0558 2232 Ql10wnt - ok
19:23:37.0578 2232 ql12160 - ok
19:23:37.0598 2232 ql1240 - ok
19:23:37.0628 2232 ql1280 - ok
19:23:37.0648 2232 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
19:23:37.0658 2232 RasAcd - ok
19:23:37.0728 2232 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
19:23:37.0728 2232 Rasl2tp - ok
19:23:37.0768 2232 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
19:23:37.0768 2232 RasPppoe - ok
19:23:37.0788 2232 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
19:23:37.0798 2232 Raspti - ok
19:23:37.0828 2232 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
19:23:37.0838 2232 Rdbss - ok
19:23:37.0858 2232 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
19:23:37.0858 2232 RDPCDD - ok
19:23:37.0908 2232 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
19:23:37.0918 2232 rdpdr - ok
19:23:37.0998 2232 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
19:23:38.0009 2232 RDPWD - ok
19:23:38.0089 2232 RecAgent (4695397ac20c467a1ced29c37fdba0b1) C:\WINDOWS\system32\DRIVERS\RecAgent.sys
19:23:38.0089 2232 RecAgent - ok
19:23:38.0109 2232 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
19:23:38.0119 2232 redbook - ok
19:23:38.0199 2232 RTL8023xp (e9877aa069dc11b03dbd1d33b8b2a3ca) C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys
19:23:38.0199 2232 RTL8023xp - ok
19:23:38.0249 2232 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
19:23:38.0259 2232 rtl8139 - ok
19:23:38.0349 2232 s24trans (96b4494d4734970f47c566e098c4f527) C:\WINDOWS\system32\DRIVERS\s24trans.sys
19:23:38.0349 2232 s24trans - ok
19:23:38.0429 2232 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
19:23:38.0429 2232 Secdrv - ok
19:23:38.0509 2232 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
19:23:38.0509 2232 Serial - ok
19:23:38.0569 2232 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
19:23:38.0569 2232 Sfloppy - ok
19:23:38.0609 2232 Simbad - ok
19:23:38.0700 2232 Slntamr (5f24500f53f8cc9182755b3fd4d49384) C:\WINDOWS\system32\DRIVERS\slntamr.sys
19:23:38.0720 2232 Slntamr - ok
19:23:38.0790 2232 SlNtHal (97005b600fbc6d73269e1261a9f7f36a) C:\WINDOWS\system32\DRIVERS\Slnthal.sys
19:23:38.0790 2232 SlNtHal - ok
19:23:38.0860 2232 SlWdmSup (aef19da29cd4265fcae8e3ddbf5d8aba) C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys
19:23:38.0870 2232 SlWdmSup - ok
19:23:38.0950 2232 SndTDriverV32 (2f45c17b2af029e76c863c48dd885a3f) C:\WINDOWS\system32\drivers\SndTDriverV32.sys
19:23:38.0970 2232 SndTDriverV32 - ok
19:23:39.0040 2232 Sparrow - ok
19:23:39.0100 2232 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
19:23:39.0110 2232 splitter - ok
19:23:39.0210 2232 sptd (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\System32\Drivers\sptd.sys
19:23:39.0230 2232 sptd - ok
19:23:39.0300 2232 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
19:23:39.0300 2232 sr - ok
19:23:39.0380 2232 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
19:23:39.0390 2232 Srv - ok
19:23:39.0461 2232 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
19:23:39.0461 2232 ssmdrv - ok
19:23:39.0571 2232 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
19:23:39.0571 2232 swenum - ok
19:23:39.0601 2232 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
19:23:39.0611 2232 swmidi - ok
19:23:39.0651 2232 symc810 - ok
19:23:39.0671 2232 symc8xx - ok
19:23:39.0701 2232 sym_hi - ok
19:23:39.0721 2232 sym_u3 - ok
19:23:39.0761 2232 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
19:23:39.0761 2232 sysaudio - ok
19:23:39.0851 2232 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
19:23:39.0861 2232 Tcpip - ok
19:23:39.0921 2232 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
19:23:39.0921 2232 TDPIPE - ok
19:23:40.0031 2232 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
19:23:40.0031 2232 TDTCP - ok
19:23:40.0071 2232 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
19:23:40.0071 2232 TermDD - ok
19:23:40.0122 2232 TosIde - ok
19:23:40.0172 2232 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
19:23:40.0172 2232 Udfs - ok
19:23:40.0252 2232 ultra - ok
19:23:40.0332 2232 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
19:23:40.0352 2232 Update - ok
19:23:40.0452 2232 USBAAPL (83cafcb53201bbac04d822f32438e244) C:\WINDOWS\system32\Drivers\usbaapl.sys
19:23:40.0452 2232 USBAAPL - ok
19:23:40.0562 2232 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
19:23:40.0562 2232 usbccgp - ok
19:23:40.0622 2232 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
19:23:40.0622 2232 usbehci - ok
19:23:40.0662 2232 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
19:23:40.0662 2232 usbhub - ok
19:23:40.0762 2232 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
19:23:40.0762 2232 usbprint - ok
19:23:40.0883 2232 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
19:23:40.0893 2232 usbscan - ok
19:23:40.0933 2232 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
19:23:40.0933 2232 USBSTOR - ok
19:23:40.0963 2232 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
19:23:40.0963 2232 usbuhci - ok
19:23:40.0993 2232 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
19:23:40.0993 2232 VgaSave - ok
19:23:41.0023 2232 ViaIde - ok
19:23:41.0083 2232 VIAudio (3fb54164fc7412693895bb9924399456) C:\WINDOWS\system32\drivers\vinyl97.sys
19:23:41.0083 2232 VIAudio - ok
19:23:41.0123 2232 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
19:23:41.0123 2232 VolSnap - ok
19:23:41.0323 2232 w22n51 (b6cb2cce557ce57c72c3d31e701e6e39) C:\WINDOWS\system32\DRIVERS\w22n51.sys
19:23:41.0373 2232 w22n51 - ok
19:23:41.0594 2232 w29n51 (f0608f3b5b6d16f4870e867f9d069b6b) C:\WINDOWS\system32\DRIVERS\w29n51.sys
19:23:41.0674 2232 w29n51 - ok
19:23:41.0784 2232 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
19:23:41.0784 2232 Wanarp - ok
19:23:41.0814 2232 WDICA - ok
19:23:41.0854 2232 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
19:23:41.0864 2232 wdmaud - ok
19:23:41.0994 2232 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
19:23:41.0994 2232 WS2IFSL - ok
19:23:42.0054 2232 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
19:23:42.0245 2232 \Device\Harddisk0\DR0 - ok
19:23:42.0255 2232 Boot (0x1200) (c5aa16f8fe0b38dabb65707a8e2c16d4) \Device\Harddisk0\DR0\Partition0
19:23:42.0265 2232 \Device\Harddisk0\DR0\Partition0 - ok
19:23:42.0285 2232 Boot (0x1200) (a37ed6918695a51c2e3912549b82578d) \Device\Harddisk0\DR0\Partition1
19:23:42.0295 2232 \Device\Harddisk0\DR0\Partition1 - ok
19:23:42.0295 2232 ============================================================
19:23:42.0295 2232 Scan finished
19:23:42.0295 2232 ============================================================
19:23:42.0315 1364 Detected object count: 0
19:23:42.0315 1364 Actual detected object count: 0
19:24:01.0552 3348 Deinitialize success
|
|
25.02.2012, 05:19
| #6 |
| /// Selecta Jahrusso | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die  + R Taste --> Notepad (hinein schreiben) --> OKKopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter NetSvc::
nsm1bus
DCamUSBSQTECH
sisperf
ADSMService
mcdbus
tandpl
DELTA
UsbserFilt
L8042Kbd
deckzpsx
sfdrv01
ATIVTUTW
ATKGFNEXSrv
NCPro
iaimfp3
AtcL002
BTSLBCSP
hwdatacard
sndsrvc
websensecommunicationagent
ha10kx2k
SE27obex
avp
fasttrackinstallerservice
w550mgmt
EACSvrMngr
sit_flt
nvidesm
wanminiportservice
alertservice
db2jds
thotkey
networkx
NWSLP
uphclean
alcxsens
vmkbd
vzfw
U81xmdm
merakpop3
pccsmcfd
speakerphone
A88xEnc
winachsf
Eplpdx02
driverhardwarev2
CTSYN
ClearJavaCache::
Wichtig:
Bitte poste in deiner nächsten Antwort Combofix.txt Berichte wie der Rechner läuft
__________________ --> TR/Sirefef.BV.2 // System Check // Desktop unsichtbar |
|
27.02.2012, 00:19
| #7 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Grüß dich Daniel, anbei der Combofix Log: Code:
ATTFilter ComboFix 12-02-24.02 - juuu 25.02.2012 12:56:26.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.674 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\juuu\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\juuu\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-25 bis 2012-02-25 ))))))))))))))))))))))))))))))
.
.
2012-02-23 08:14 . 2011-07-15 13:29 457856 -c--a-w- c:\windows\system32\dllcache\mrxsmb.sys
2012-02-23 08:14 . 2011-07-15 13:29 457856 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2012-02-20 19:44 . 2012-02-20 19:44 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-02-20 19:44 . 2012-02-20 19:44 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\dokumente und einstellungen\juuu\Anwendungsdaten\Malwarebytes
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-20 17:57 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-20 17:39 . 2012-02-20 17:39 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2012-02-20 17:36 . 2012-02-20 17:36 -------- d-sh--w- c:\dokumente und einstellungen\juuu\IETldCache
2012-02-19 17:59 . 2011-08-16 10:45 6144 -c----w- c:\windows\system32\dllcache\iecompat.dll
2012-02-19 17:57 . 2011-12-17 19:43 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2012-02-19 17:57 . 2011-12-17 19:43 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2012-02-19 17:57 . 2011-12-17 19:43 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2012-02-19 17:57 . 2011-12-17 19:43 2000384 -c----w- c:\windows\system32\dllcache\iertutil.dll
2012-02-19 17:57 . 2011-12-18 13:43 11082240 -c----w- c:\windows\system32\dllcache\ieframe.dll
2012-02-19 17:57 . 2011-12-17 19:43 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2012-02-19 17:57 . 2011-12-17 19:43 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2012-02-19 17:56 . 2012-02-19 17:56 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-02-19 17:56 . 2012-02-19 17:56 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2012-02-19 17:54 . 2012-02-19 17:55 -------- dc----w- c:\windows\ie8
2012-02-16 22:50 . 2012-02-16 22:50 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-02-16 22:20 . 2012-02-23 06:58 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-02-15 17:14 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-15 17:14 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-10 21:39 . 2012-02-10 21:39 -------- d-----w- c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\.elfohilfe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-25 11:29 . 2009-11-16 18:33 22528 ----a-w- c:\windows\system32\drivers\nhcDriver.sys
2012-01-12 17:20 . 2004-11-11 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2004-11-11 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2004-11-11 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2004-11-11 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2004-11-11 12:00 385024 ------w- c:\windows\system32\html.iec
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot@2012-02-23_08.30.58 )))))))))))))))))))))))))))))))))))))))))
.
- 2012-02-23 08:29 . 2012-02-23 08:29 16384 c:\windows\Temp\Perflib_Perfdata_2cc.dat
+ 2012-02-25 11:29 . 2012-02-25 11:29 16384 c:\windows\Temp\Perflib_Perfdata_2cc.dat
+ 2004-11-11 12:00 . 2011-03-04 06:36 420864 c:\windows\system32\vbscript.dll
- 2004-11-11 12:00 . 2009-03-08 03:33 726528 c:\windows\system32\jscript.dll
+ 2004-11-11 12:00 . 2011-03-04 06:36 726528 c:\windows\system32\jscript.dll
+ 2011-06-14 20:35 . 2011-04-30 03:01 758784 c:\windows\system32\dllcache\vgx.dll
+ 2008-05-09 10:54 . 2011-03-04 06:36 420864 c:\windows\system32\dllcache\vbscript.dll
- 2010-03-17 17:42 . 2009-03-08 03:33 726528 c:\windows\system32\dllcache\jscript.dll
+ 2010-03-17 17:42 . 2011-03-04 06:36 726528 c:\windows\system32\dllcache\jscript.dll
+ 2012-02-24 17:52 . 2009-03-08 03:33 759296 c:\windows\ie8updates\KB2544521-IE8\vgx.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 388984 c:\windows\ie8updates\KB2544521-IE8\spuninst\updspapi.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 234872 c:\windows\ie8updates\KB2544521-IE8\spuninst\spuninst.exe
+ 2012-02-24 17:52 . 2009-03-08 03:33 420352 c:\windows\ie8updates\KB2510531-IE8\vbscript.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 388984 c:\windows\ie8updates\KB2510531-IE8\spuninst\updspapi.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 234872 c:\windows\ie8updates\KB2510531-IE8\spuninst\spuninst.exe
+ 2012-02-24 17:52 . 2009-03-08 03:33 726528 c:\windows\ie8updates\KB2510531-IE8\jscript.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2009-11-03 1372160]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 434528]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Password.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Password.lnk
backup=c:\windows\pss\Password.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2009-11-03 14:35 1202448 ----a-w- c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-11-12 23:24 421736 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 2200 Series]
2004-02-13 06:08 57344 ------w- c:\programme\Lexmark 2200 Series\lxbvbmgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-06 00:27 26102056 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 11:06 254696 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.11.2009 18:44 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14.11.2009 20:50 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14.11.2009 20:50 6100]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [23.01.2010 13:09 3768]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 19:19 50704]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [23.01.2010 13:09 184320]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.12.2009 18:44 691696]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-25 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-13 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\juuu\Anwendungsdaten\Mozilla\Firefox\Profiles\30i2y6ni.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-25 13:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(756)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(432)
c:\windows\system32\webcheck.dll
c:\windows\system32\netprovcredman.dll
.
Zeit der Fertigstellung: 2012-02-25 13:06:06
ComboFix-quarantined-files.txt 2012-02-25 12:05
ComboFix2.txt 2012-02-23 08:39
.
Vor Suchlauf: 5,800,722,432 Bytes frei
Nach Suchlauf: 5,787,496,448 Bytes frei
.
- - End Of File - - C18DEE5B0380B13589CAD2529CDAAF6D
- Startmenü: in den Programmen sind zwar alle Ordner vorhanden, diese sind jedoch alle leer - als ob alle Verknüpfungen gelöscht wurden. Die Schnellstartleiste ist ebenfalls leer (mittlerweile wieder von mir händisch gefüllt), die Symbolleiste "Eingabegebietsschemaleiste" (Tastaturlayout DE-EN-) ist ebenfalls leer bzw. lässt sich gar nicht mehr widerherstellen. - Antivir hat heute abend noch TR/Trash.Gen im Ordner C:\System Vol Information\...\system restore\A0120682.exe gefunden Den Ordner Sys Vol Information finde ich jedoch gar nicht, auch nicht wenn ich die Ordneransicht auf "Alle Dateien und Ordner anzeigen" umstelle. Ich komme über die Adresszeile in den Ordner (händische Eingabe), Ordner ist aber komplett leer: Rechtsklick -> Eigenschaften -> Größe 2,86 GB Wie weiter vorgehen? Schönen Abend noch, Julius |
|
27.02.2012, 14:10
| #8 |
| /// Selecta Jahrusso | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Start --> Ausführen und kopiere folgendes in die Run Box und clicke OK C:\Qoobox\ComboFix-quarantined-files.txt Es wird sich ein Textdokument öffnen, poste diese bitte hier
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
27.02.2012, 19:26
| #9 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Hallo Daniel, anbei der Log: Code:
ATTFilter 2012-02-25 11:56:15 . 2012-02-25 11:56:15 0 ----a-w- C:\Qoobox\Quarantine\catchme.txt
2012-02-23 08:34:34 . 2012-02-23 08:34:34 680 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-pdOPCHAeNauu.reg.dat
2012-02-23 08:26:21 . 2012-02-23 08:26:21 218 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\_700291595_.zip
2012-02-23 08:25:12 . 2012-02-25 12:01:54 7,034 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-02-23 08:24:25 . 2009-12-12 20:16:12 636 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\Winamp.lnk
2012-02-23 08:24:25 . 2011-05-11 20:43:49 1,566 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\Mozilla Firefox.lnk
2012-02-23 08:24:25 . 2012-02-10 21:01:35 822 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\ElsterFormular.lnk
2012-02-23 08:24:25 . 2010-04-02 14:31:46 564 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\LIBERO.lnk
2012-02-23 08:24:25 . 2011-09-05 12:41:35 1,468 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\Q-Dir.lnk
2012-02-23 08:24:25 . 2011-05-11 20:43:49 1,584 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\Mozilla Firefox.lnk
2012-02-23 08:24:25 . 2010-03-17 14:49:52 124 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\desktop.ini
2012-02-23 08:24:25 . 2009-12-14 17:59:56 79 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\Desktop anzeigen.scf
2012-02-23 08:24:25 . 2009-11-14 19:09:31 1,528 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Unterhaltungsmedien\Lautstärkeregelung.lnk
2012-02-23 08:24:25 . 2009-11-14 19:09:31 149 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Unterhaltungsmedien\desktop.ini
2012-02-23 08:24:25 . 2009-11-14 19:09:31 1,528 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Unterhaltungsmedien\Audiorecorder.lnk
2012-02-23 08:24:25 . 2009-11-14 19:09:31 1,521 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Zeichentabelle.lnk
2012-02-23 08:24:25 . 2009-11-14 19:13:19 1,591 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Übertragen von Dateien und Einstellungen.lnk
2012-02-23 08:24:25 . 2009-11-14 19:11:22 1,616 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Systemwiederherstellung.lnk
2012-02-23 08:24:25 . 2009-11-14 19:11:19 1,084 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Systeminformationen.lnk
2012-02-23 08:24:25 . 2009-11-14 19:11:23 1,753 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Geplante Tasks.lnk
2012-02-23 08:24:25 . 2009-11-14 19:13:19 1,532 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Sicherung.lnk
2012-02-23 08:24:25 . 2009-11-14 19:13:19 789 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\desktop.ini
2012-02-23 08:24:25 . 2009-11-14 19:11:19 1,572 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Defragmentierung.lnk
2012-02-23 08:24:25 . 2009-11-14 19:11:23 1,532 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Datenträgerbereinigung.lnk
2012-02-23 08:24:25 . 2009-11-14 19:06:56 1,757 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Netzwerkverbindungen.lnk
2012-02-23 08:24:24 . 2009-11-14 19:09:31 766 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\HyperTerminal.lnk
2012-02-23 08:24:24 . 2009-11-14 19:11:15 1,640 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Netzwerkinstallations-Assistent.lnk
2012-02-23 08:24:24 . 2010-03-17 11:49:07 1,656 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Drahtlosnetzwerkinstallation.lnk
2012-02-23 08:24:24 . 2009-11-14 19:06:56 1,646 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Assistent für neue Verbindungen.lnk
2012-02-23 08:24:24 . 2010-03-17 11:49:07 535 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\desktop.ini
2012-02-23 08:24:24 . 2009-11-14 19:09:31 1,520 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Eingabehilfen\Eingabehilfen-Assistent.lnk
2012-02-23 08:24:24 . 2009-11-14 19:09:31 839 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\WordPad.lnk
2012-02-23 08:24:24 . 2009-11-14 19:09:31 93 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Eingabehilfen\desktop.ini
2012-02-23 08:24:24 . 2010-03-17 11:46:38 1,681 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Remotedesktopverbindung.lnk
2012-02-23 08:24:24 . 2011-10-26 14:13:15 710 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Scanner and Camera Wizard.lnk
2012-02-23 08:24:24 . 2009-11-14 19:09:31 1,498 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Rechner.lnk
2012-02-23 08:24:24 . 2011-10-26 14:13:15 252 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\desktop.ini
2012-02-23 08:24:24 . 2011-01-27 21:53:31 1,515 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Paint.lnk
2012-02-23 08:24:24 . 2010-04-29 09:35:04 684 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinRAR\WinRAR help.lnk
2012-02-23 08:24:24 . 2010-04-29 09:35:04 684 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinRAR\WinRAR.lnk
2012-02-23 08:24:24 . 2010-04-29 09:35:04 665 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinRAR\Console RAR manual.lnk
2012-02-23 08:24:24 . 2010-01-27 17:59:43 49 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinPcap\WinPcap Web Site.url
2012-02-23 08:24:24 . 2010-01-27 17:59:43 483 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinPcap\Uninstall WinPcap 4.1.1.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 849 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to DirectX.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:47 813 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to OpenGL.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 855 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to DirectX (no video overlay).lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 861 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to DirectX (no hardware acceleration).lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 857 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to Direct3D (no hardware acceleration).lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 851 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to Direct3D.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 783 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Interface\Set Main Interface to Skinnable.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 777 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Interface\Set Main Interface to Qt (default).lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 805 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Audio\Set Audio mode to DirectX (default).lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:46 795 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Audio\Set Audio mode to Waveout.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:47 805 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Reset VLC media player preferences and cache files.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:48 703 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\VLC media player.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:48 710 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Release Notes.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:48 774 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\VideoLAN Website.lnk
2012-02-23 08:24:24 . 2010-01-02 20:31:47 759 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Documentation.lnk
2012-02-23 08:24:24 . 2009-11-14 19:13:19 1,591 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Systemmonitor.lnk
2012-02-23 08:24:24 . 2009-11-14 19:13:19 1,590 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Lokale Sicherheitsrichtlinie.lnk
2012-02-23 08:24:24 . 2009-11-14 19:09:02 1,582 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Komponentendienste.lnk
2012-02-23 08:24:24 . 2009-11-14 19:13:19 1,592 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Ereignisanzeige.lnk
2012-02-23 08:24:24 . 2009-11-14 19:13:19 555 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\desktop.ini
2012-02-23 08:24:24 . 2009-11-14 19:13:19 1,602 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Dienste.lnk
2012-02-23 08:24:24 . 2009-11-14 19:13:19 1,602 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Computerverwaltung.lnk
2012-02-23 08:24:24 . 2009-11-14 19:13:19 1,596 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Datenquellen (ODBC).lnk
2012-02-23 08:24:23 . 2010-01-27 17:59:22 647 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\URLSnooper 2.lnk
2012-02-23 08:24:23 . 2010-01-27 17:59:22 822 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\Visit URLSnooper Homepage at DonationCoder.com (check for updates).lnk
2012-02-23 08:24:23 . 2010-01-27 17:59:22 637 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\URLSnooper 2 - Uninstall.lnk
2012-02-23 08:24:23 . 2010-01-27 17:59:22 647 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\URLSnooper 2 - Help File.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 1,502 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Spider Solitär.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 1,491 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Solitär.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 857 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Pinball.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 1,515 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Minesweeper.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 885 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Reversi.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 885 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Spades.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 885 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Dame.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 885 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Hearts.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 1,520 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Hearts.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 885 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Backgammon.lnk
2012-02-23 08:24:23 . 2011-07-20 17:36:24 1,522 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Freecell.lnk
2012-02-23 08:24:23 . 2009-11-14 19:09:31 790 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\desktop.ini
2012-02-23 08:24:23 . 2010-01-23 12:10:07 632 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\SoundTaxi Help.lnk
2012-02-23 08:24:23 . 2010-01-23 12:10:07 1,502 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\SoundTaxi.lnk
2012-02-23 08:24:23 . 2010-01-23 12:10:07 615 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\Buy Now.lnk
2012-02-23 08:24:23 . 2010-01-23 12:10:07 1,487 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\SoundTaxi CDRipper.lnk
2012-02-23 08:24:23 . 2011-12-03 18:37:47 1,598 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Uninstall Songbird.lnk
2012-02-23 08:24:23 . 2011-12-03 18:37:47 1,524 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Songbird.lnk
2012-02-23 08:24:23 . 2011-12-03 18:37:47 1,584 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Songbird (Safe-Mode).lnk
2012-02-23 08:24:23 . 2011-12-03 18:37:47 1,586 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Songbird (Profile Manager).lnk
2012-02-23 08:24:23 . 2011-03-09 19:04:04 2,253 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Skype\Skype.lnk
2012-02-23 08:24:22 . 2009-11-14 19:50:32 1,979 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\REALTEK Gigabit and Fast Ethernet NIC Driver\Uninstall REALTEK Gigabit and Fast Ethernet NIC Driver.lnk
2012-02-23 08:24:22 . 2011-10-30 21:13:20 687 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\Uninstall RealBot.lnk
2012-02-23 08:24:22 . 2011-10-30 21:13:20 732 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\RealBot Waypoints.lnk
2012-02-23 08:24:22 . 2011-10-30 21:13:20 754 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\RealBot Readme.lnk
2012-02-23 08:24:22 . 2011-10-30 21:13:19 722 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\RealBot on the Web.lnk
2012-02-23 08:24:22 . 2011-09-05 12:41:17 1,490 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Q-Dir\Uninstall Q-Dir.lnk
2012-02-23 08:24:22 . 2011-09-05 12:41:17 1,468 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Q-Dir\Q-Dir.lnk
2012-02-23 08:24:22 . 2011-09-05 12:41:17 1,480 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Q-Dir\Q-Dir Hilfe.lnk
2012-02-23 08:24:22 . 2010-07-29 20:07:04 873 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\WRIR 02-4172 (PDF).lnk
2012-02-23 08:24:22 . 2010-07-29 20:07:04 858 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\User's Guide to PHREEQC (Version 2).lnk
2012-02-23 08:24:22 . 2010-07-29 20:07:04 846 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\User's Guide to PHREEQC (Version 2 PDF).lnk
2012-02-23 08:24:21 . 2010-07-29 20:07:04 803 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\REVISIONS.lnk
2012-02-23 08:24:21 . 2010-07-29 20:07:04 863 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\PhreeqcI Version 2 Fact Sheet.lnk
2012-02-23 08:24:21 . 2010-07-29 20:07:04 858 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\Phreeqc Interactive 2.17.4468.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 1,465 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\Unterstütze PDFCreator.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 801 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\Translation Tool.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 1,556 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\PDFCreator.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 1,379 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\PDFCreator im Internet.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 673 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\Historie.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 547 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\PDFCreator Hilfe.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 543 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\FairPlay License.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 695 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\GPL License.lnk
2012-02-23 08:24:21 . 2010-04-29 08:37:03 700 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\AFPL License.lnk
2012-02-23 08:24:21 . 2009-12-12 20:11:16 1,520 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Napster\Napster.lnk
2012-02-23 08:24:21 . 2009-11-15 17:48:10 1,666 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Thunderbird\Mozilla Thunderbird (Safe-Mode).lnk
2012-02-23 08:24:20 . 2011-05-11 20:43:49 1,578 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Firefox\Mozilla Firefox.lnk
2012-02-23 08:24:20 . 2011-05-11 20:43:49 1,600 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Firefox\Mozilla Firefox (Abgesicherter Modus).lnk
2012-02-23 08:24:20 . 2009-12-12 18:14:04 2,511 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Office Picture Manager.lnk
2012-02-23 08:24:20 . 2009-12-12 18:14:04 2,433 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Office 2007 Language Settings.lnk
2012-02-23 08:24:20 . 2009-12-12 18:14:03 2,531 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Office Diagnostics.lnk
2012-02-23 08:24:20 . 2009-12-12 18:14:03 2,533 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Clip Organizer.lnk
2012-02-23 08:24:20 . 2009-12-12 18:14:04 2,553 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Digital Certificate for VBA Projects.lnk
2012-02-23 08:24:20 . 2011-12-22 19:38:44 2,511 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Word 2007.lnk
2012-02-23 08:24:20 . 2011-01-01 15:12:17 2,469 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Excel 2007.lnk
2012-02-23 08:24:20 . 2010-10-07 18:49:22 2,479 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office PowerPoint 2007.lnk
2012-02-23 08:24:20 . 2010-10-05 22:07:02 1,853 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Ratgeber.lnk
2012-02-23 08:24:20 . 2010-10-05 21:55:21 743 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Photo Editor.lnk
2012-02-23 08:24:20 . 2010-10-05 22:06:29 743 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Multifunktionscenter.lnk
2012-02-23 08:24:20 . 2010-10-05 22:06:29 743 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Fotoeditor.lnk
2012-02-23 08:24:20 . 2010-10-05 21:55:21 743 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark All-In-One Center.lnk
2012-02-23 08:24:19 . 2010-10-05 22:07:02 937 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark 2200 Series Deinstallation.lnk
2012-02-23 08:24:19 . 2011-12-04 14:06:23 1,794 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\iTunes\Über iTunes.lnk
2012-02-23 08:24:19 . 2010-10-05 22:07:02 529 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Bitte lesen.lnk
2012-02-23 08:24:19 . 2011-12-04 14:06:23 1,534 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\iTunes\iTunes.lnk
2012-02-23 08:24:19 . 2009-12-11 17:06:31 1,925 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Intel PROSet Wireless\WiFi Connection Utility.lnk
2012-02-23 08:24:19 . 2011-09-24 22:51:32 1,586 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\FreeCAD 0.11\FreeCAD.lnk
2012-02-23 08:24:19 . 2011-09-24 22:51:32 1,621 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\FreeCAD 0.11\command line.lnk
2012-02-23 08:24:19 . 2011-02-21 15:54:19 883 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\Uninstall ElsterFormular.lnk
2012-02-23 08:24:19 . 2011-02-21 15:54:19 1,077 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\Integritaetsprüfer.lnk
2012-02-23 08:24:19 . 2011-02-21 15:54:19 989 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\ElsterFormular.lnk
2012-02-23 08:24:19 . 2011-02-21 15:54:19 902 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\ElsterFormular Hilfe.lnk
2012-02-23 08:24:19 . 2011-02-21 15:35:05 739 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\Uninstall ElsterFormular.lnk
2012-02-23 08:24:19 . 2011-02-21 15:35:05 973 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\Integritaetsprüfer.lnk
2012-02-23 08:24:19 . 2012-02-10 21:01:35 822 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular.lnk
2012-02-23 08:24:19 . 2011-02-21 15:35:05 973 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular Hilfe.lnk
2012-02-23 08:24:19 . 2012-02-10 21:01:35 876 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular - Screenreadermodus.lnk
2012-02-23 08:24:19 . 2012-02-10 21:01:35 823 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular - Installationsverwaltung.lnk
2012-02-23 08:24:19 . 2012-02-10 21:01:34 731 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular - Hotline.lnk
2012-02-23 08:24:18 . 2009-11-15 17:44:29 1,689 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Avira\AntiVir Desktop\AntiVir starten.lnk
2012-02-23 08:24:18 . 2009-11-15 17:44:29 800 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Avira\AntiVir Desktop\AntiVir im Internet.lnk
2012-02-23 08:24:18 . 2009-11-15 17:44:29 1,666 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Avira\AntiVir Desktop\AntiVir Hilfe.lnk
2012-02-23 08:24:18 . 2009-11-14 19:13:19 84 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Autostart\desktop.ini
2012-02-23 08:24:18 . 2009-11-14 19:11:28 758 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Windows Movie Maker.lnk
2012-02-23 08:24:18 . 2009-11-14 19:09:31 621 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Windows Messenger.lnk
2012-02-23 08:24:18 . 2009-11-14 19:08:46 2,004 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\MSN.lnk
2012-02-23 08:24:18 . 2011-08-30 13:33:43 1,638 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Thunderbird.lnk
2012-02-23 08:24:18 . 2011-05-10 23:13:18 702 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Firefox.lnk
2012-02-23 08:24:18 . 2011-12-04 14:04:27 1,830 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Apple Software Update.lnk
2012-02-23 08:24:18 . 2009-11-14 19:11:28 150 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\desktop.ini
2012-02-23 08:24:18 . 2009-12-18 21:45:22 1,804 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Adobe Reader 9.lnk
2012-02-23 08:24:18 . 2009-11-14 19:13:19 1,507 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Windows Update.lnk
2012-02-23 08:24:18 . 2009-11-14 19:13:19 398 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Windows-Katalog.lnk
2012-02-23 08:24:18 . 2010-03-17 11:46:47 1,563 ----a-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programmzugriff und -standards.lnk
2012-02-23 08:24:18 . 2010-03-17 11:46:47 273 --sha-w- C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\desktop.ini
2012-02-23 08:09:02 . 2012-02-25 11:54:35 870 ----a-w- C:\Qoobox\Quarantine\catchme.log
2012-02-20 07:49:38 . 2012-02-20 17:53:32 2,048 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\U\00000001.@.vir
2012-02-16 22:31:55 . 2012-02-22 22:15:25 184 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\oemid.vir
2012-02-16 22:28:52 . 2012-02-16 22:28:52 216 ----a-w- C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\~HxLaqQcvvQXQQ5r.vir
2012-02-16 22:28:51 . 2012-02-16 22:28:52 312 ----a-w- C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\~HxLaqQcvvQXQQ5.vir
2012-02-16 22:28:51 . 2012-02-16 22:28:51 845 ----a-w- C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\juuu\Desktop\System Check.lnk.vir
2012-02-16 22:28:29 . 2012-02-16 22:29:06 416 ----a-w- C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\HxLaqQcvvQXQQ5.vir
2012-02-16 22:20:27 . 2012-02-23 06:58:28 844 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\version.vir
2012-02-16 22:19:58 . 2012-02-23 07:01:29 299 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\cfg.ini.vir
2012-02-16 22:19:58 . 2012-02-16 22:19:58 2,048 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\@.vir
2012-02-16 22:19:58 . 2012-02-16 22:19:58 456,320 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\L\ssreoikt.vir
2012-02-16 22:19:58 . 2012-02-23 06:58:20 4,608 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\Desktop.ini.vir
2012-02-10 12:03:04 . 2012-02-16 22:20:25 66,560 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\U\80000000.@.vir
2012-01-29 00:09:53 . 2012-02-16 22:20:26 73,216 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\U\80000032.@.vir
2011-12-02 12:07:49 . 2012-02-16 22:20:24 224,768 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\U\00000002.@.vir
2011-11-29 13:10:08 . 2012-02-16 22:20:23 12,800 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\U\80000004.@.vir
2011-11-02 17:48:14 . 2012-02-16 22:20:23 1,024 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB32308$\2023818901\U\00000004.@.vir
2011-05-08 19:12:34 . 2011-05-08 19:12:34 2,118 ----a-w- C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\{5CC8B8FC-DF46-4E91-A877-5975BC8E4C7A}\chrome\content\_cfg.js.vir
2011-05-08 19:12:34 . 2011-05-08 19:12:34 764 ----a-w- C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\{5CC8B8FC-DF46-4E91-A877-5975BC8E4C7A}\install.rdf.vir
2010-10-05 22:05:57 . 1997-10-13 18:55:40 299,008 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\unin0407.exe.vir
2009-11-14 19:51:29 . 1998-11-17 12:44:44 328,704 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\IsUn0407.exe.vir
2004-11-11 12:00:00 . 2011-07-15 13:29:35 457,856 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\mrxsmb.sys.vir_
Verrückt, das scheinen tatsächlich die ganzen Start/Programme/..-Verknüpfungen zu sein.. Bis dann, Julius |
|
29.02.2012, 15:11
| #10 |
| /// Selecta Jahrusso | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Hy, Sorry für die Verzögerung. Mich hat ne Grippe erwischt und mir gehts dementsprechend. Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die + R Taste --> Notepad (hinein schreiben) --> OKKopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter DeQuarantine::
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\Winamp.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\Mozilla Firefox.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\ElsterFormular.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4\LIBERO.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\Q-Dir.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\Mozilla Firefox.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2\Desktop anzeigen.scf
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Unterhaltungsmedien\Lautstärkeregelung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Unterhaltungsmedien\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Unterhaltungsmedien\Audiorecorder.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Zeichentabelle.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Übertragen von Dateien und Einstellungen.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Systemwiederherstellung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Systeminformationen.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Geplante Tasks.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Sicherung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Defragmentierung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Systemprogramme\Datenträgerbereinigung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Netzwerkverbindungen.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\HyperTerminal.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Netzwerkinstallations-Assistent.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Drahtlosnetzwerkinstallation.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\Assistent für neue Verbindungen.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Kommunikation\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Eingabehilfen\Eingabehilfen-Assistent.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\WordPad.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Eingabehilfen\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Remotedesktopverbindung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Scanner and Camera Wizard.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Rechner.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Zubehör\Paint.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinRAR\WinRAR help.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinRAR\WinRAR.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinRAR\Console RAR manual.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinPcap\WinPcap Web Site.url
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\WinPcap\Uninstall WinPcap 4.1.1.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to DirectX.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to OpenGL.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to DirectX (no video overlay).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to DirectX (no hardware acceleration).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to Direct3D (no hardware acceleration).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Video\Set Video mode to Direct3D.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Interface\Set Main Interface to Skinnable.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Interface\Set Main Interface to Qt (default).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Audio\Set Audio mode to DirectX (default).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Audio\Set Audio mode to Waveout.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Quick Settings\Reset VLC media player preferences and cache files.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\VLC media player.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Release Notes.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\VideoLAN Website.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\VideoLAN\Documentation.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Systemmonitor.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Lokale Sicherheitsrichtlinie.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Komponentendienste.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Ereignisanzeige.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Dienste.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Computerverwaltung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Verwaltung\Datenquellen (ODBC).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\URLSnooper 2.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\Visit URLSnooper Homepage at DonationCoder.com (check for updates).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\URLSnooper 2 - Uninstall.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\URLSnooper2\URLSnooper 2 - Help File.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Spider Solitär.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Solitär.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Pinball.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Minesweeper.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Reversi.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Spades.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Dame.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Hearts.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Hearts.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Internet-Backgammon.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\Freecell.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Spiele\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\SoundTaxi Help.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\SoundTaxi.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\Buy Now.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\SoundTaxi\SoundTaxi CDRipper.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Uninstall Songbird.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Songbird.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Songbird (Safe-Mode).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Songbird\Songbird (Profile Manager).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Skype\Skype.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\REALTEK Gigabit and Fast Ethernet NIC Driver\Uninstall REALTEK Gigabit and Fast Ethernet NIC Driver.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\Uninstall RealBot.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\RealBot Waypoints.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\RealBot Readme.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\RealBot\RealBot on the Web.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Q-Dir\Uninstall Q-Dir.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Q-Dir\Q-Dir.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Q-Dir\Q-Dir Hilfe.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\WRIR 02-4172 (PDF).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\User's Guide to PHREEQC (Version 2).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\User's Guide to PHREEQC (Version 2 PDF).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\REVISIONS.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\PhreeqcI Version 2 Fact Sheet.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Phreeqc Interactive 2.17.4468\Phreeqc Interactive 2.17.4468.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\Unterstütze PDFCreator.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\Translation Tool.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\PDFCreator.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\PDFCreator im Internet.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\Historie.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\PDFCreator Hilfe.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\FairPlay License.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\GPL License.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\PDFCreator\AFPL License.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Napster\Napster.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Thunderbird\Mozilla Thunderbird (Safe-Mode).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Firefox\Mozilla Firefox.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Firefox\Mozilla Firefox (Abgesicherter Modus).lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Office Picture Manager.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Office 2007 Language Settings.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Office Diagnostics.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Microsoft Clip Organizer.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Tools\Digital Certificate for VBA Projects.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Word 2007.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office Excel 2007.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Microsoft Office\Microsoft Office PowerPoint 2007.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Ratgeber.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Photo Editor.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Multifunktionscenter.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark Fotoeditor.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark All-In-One Center.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Lexmark 2200 Series Deinstallation.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\iTunes\Über iTunes.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Lexmark 2200 Series\Bitte lesen.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\iTunes\iTunes.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Intel PROSet Wireless\WiFi Connection Utility.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\FreeCAD 0.11\FreeCAD.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\FreeCAD 0.11\command line.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\Uninstall ElsterFormular.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\Integritaetsprüfer.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\ElsterFormular.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\2008-2009\ElsterFormular Hilfe.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\Uninstall ElsterFormular.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\Integritaetsprüfer.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular Hilfe.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular - Screenreadermodus.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular - Installationsverwaltung.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\ElsterFormular\ElsterFormular - Hotline.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Avira\AntiVir Desktop\AntiVir starten.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Avira\AntiVir Desktop\AntiVir im Internet.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Avira\AntiVir Desktop\AntiVir Hilfe.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Autostart\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Windows Movie Maker.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Windows Messenger.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\MSN.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Thunderbird.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Mozilla Firefox.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Apple Software Update.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\desktop.ini
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programme\Adobe Reader 9.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Windows Update.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Windows-Katalog.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\Programmzugriff und -standards.lnk
C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1\desktop.ini
Quit::
Wichtig:
Downloade bitte Grinler's unhide.exe auf deinem Desktop Starte das Tool mit Doppelklick. Wenn es seine Arbeit getan hat, wir eine Nachricht mit Done aufpoppen Bitte poste in deiner nächsten Antwort Berichte ob die Ordner immer noch leer sind. DeQuarantine.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
02.03.2012, 18:58
| #11 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Moin, hoff es geht dir wieder besser - anbei der Log vom Combofix - allerdings wurde C:\ComboFix.txt, und nicht C:\DeQuarantine.txt erstellt: Code:
ATTFilter ComboFix 12-03-02.01 - juuu 02.03.2012 18:22:26.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.680 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\juuu\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\juuu\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\oobe\msoobe.exe
c:\windows\system32\oobe\oobebaln.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-02 bis 2012-03-02 ))))))))))))))))))))))))))))))
.
.
2012-02-23 08:14 . 2011-07-15 13:29 457856 -c--a-w- c:\windows\system32\dllcache\mrxsmb.sys
2012-02-23 08:14 . 2011-07-15 13:29 457856 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2012-02-20 19:44 . 2012-02-20 19:44 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-02-20 19:44 . 2012-02-20 19:44 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\dokumente und einstellungen\juuu\Anwendungsdaten\Malwarebytes
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-20 17:57 . 2012-02-20 17:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-20 17:57 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-20 17:39 . 2012-02-20 17:39 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2012-02-20 17:36 . 2012-02-20 17:36 -------- d-sh--w- c:\dokumente und einstellungen\juuu\IETldCache
2012-02-19 17:59 . 2011-08-16 10:45 6144 -c----w- c:\windows\system32\dllcache\iecompat.dll
2012-02-19 17:57 . 2011-12-17 19:43 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2012-02-19 17:57 . 2011-12-17 19:43 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2012-02-19 17:57 . 2011-12-17 19:43 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2012-02-19 17:57 . 2011-12-17 19:43 2000384 -c----w- c:\windows\system32\dllcache\iertutil.dll
2012-02-19 17:57 . 2011-12-18 13:43 11082240 -c----w- c:\windows\system32\dllcache\ieframe.dll
2012-02-19 17:57 . 2011-12-17 19:43 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2012-02-19 17:57 . 2011-12-17 19:43 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2012-02-19 17:56 . 2012-02-19 17:56 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-02-19 17:56 . 2012-02-19 17:56 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2012-02-19 17:54 . 2012-02-19 17:55 -------- dc----w- c:\windows\ie8
2012-02-16 22:50 . 2012-02-16 22:50 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-02-16 22:20 . 2012-02-23 06:58 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-02-15 17:14 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-15 17:14 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-10 21:39 . 2012-02-10 21:39 -------- d-----w- c:\dokumente und einstellungen\juuu\Lokale Einstellungen\Anwendungsdaten\.elfohilfe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-02 17:34 . 2009-11-16 18:33 22528 ----a-w- c:\windows\system32\drivers\nhcDriver.sys
2012-01-12 17:20 . 2004-11-11 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2004-11-11 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2004-11-11 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2004-11-11 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2004-11-11 12:00 385024 ------w- c:\windows\system32\html.iec
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot@2012-02-23_08.30.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-03-02 17:30 . 2012-03-02 17:30 16384 c:\windows\Temp\Perflib_Perfdata_7a0.dat
+ 2009-11-14 19:10 . 2008-04-14 02:22 51712 c:\windows\system32\dllcache\oobebaln.exe
+ 2009-11-14 19:10 . 2008-04-14 02:22 29184 c:\windows\system32\dllcache\msoobe.exe
+ 2004-11-11 12:00 . 2011-03-04 06:36 420864 c:\windows\system32\vbscript.dll
+ 2004-11-11 12:00 . 2011-03-04 06:36 726528 c:\windows\system32\jscript.dll
- 2004-11-11 12:00 . 2009-03-08 03:33 726528 c:\windows\system32\jscript.dll
+ 2011-06-14 20:35 . 2011-04-30 03:01 758784 c:\windows\system32\dllcache\vgx.dll
+ 2008-05-09 10:54 . 2011-03-04 06:36 420864 c:\windows\system32\dllcache\vbscript.dll
+ 2010-03-17 17:42 . 2011-03-04 06:36 726528 c:\windows\system32\dllcache\jscript.dll
- 2010-03-17 17:42 . 2009-03-08 03:33 726528 c:\windows\system32\dllcache\jscript.dll
+ 2012-02-24 17:52 . 2009-03-08 03:33 759296 c:\windows\ie8updates\KB2544521-IE8\vgx.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 388984 c:\windows\ie8updates\KB2544521-IE8\spuninst\updspapi.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 234872 c:\windows\ie8updates\KB2544521-IE8\spuninst\spuninst.exe
+ 2012-02-24 17:52 . 2009-03-08 03:33 420352 c:\windows\ie8updates\KB2510531-IE8\vbscript.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 388984 c:\windows\ie8updates\KB2510531-IE8\spuninst\updspapi.dll
+ 2012-02-24 17:52 . 2010-07-05 13:14 234872 c:\windows\ie8updates\KB2510531-IE8\spuninst\spuninst.exe
+ 2012-02-24 17:52 . 2009-03-08 03:33 726528 c:\windows\ie8updates\KB2510531-IE8\jscript.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2009-11-03 1372160]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 434528]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Password.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Password.lnk
backup=c:\windows\pss\Password.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2009-11-03 14:35 1202448 ----a-w- c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-11-12 23:24 421736 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 2200 Series]
2004-02-13 06:08 57344 ------w- c:\programme\Lexmark 2200 Series\lxbvbmgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-06 00:27 26102056 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 11:06 254696 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.11.2009 18:44 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14.11.2009 20:50 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14.11.2009 20:50 6100]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [23.01.2010 13:09 3768]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 19:19 50704]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [23.01.2010 13:09 184320]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.12.2009 18:44 691696]
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-02 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-13 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\juuu\Anwendungsdaten\Mozilla\Firefox\Profiles\30i2y6ni.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-02 18:34
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1208)
c:\windows\system32\webcheck.dll
c:\windows\system32\netprovcredman.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-02 18:39:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-03-02 17:39
ComboFix2.txt 2012-02-25 12:06
ComboFix3.txt 2012-02-23 08:39
.
Vor Suchlauf: 5,667,135,488 Bytes frei
Nach Suchlauf: 5,652,766,720 Bytes frei
.
- - End Of File - - E1505DE3FAFF789726BB2D1B9F6FF914
Antivir hat heute Abend erneut den XPack.GEN8 gefunden: --> Quarantäne. Habe unhide.exe laufen lassen, bei deaktiviertem Antivir, anbei der Logfile - die Ordner/Dateien sind nämlich immer noch nicht wieder aufgetaucht im Startmenü.. Code:
ATTFilter Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic405109.html
Program started at: 03/02/2012 06:54:57 PM
Windows Version: Windows XP
Please be patient while your files are made visible again.
Processing the C:\ drive
Finished processing the C:\ drive. 60926 files processed.
Processing the D:\ drive
Finished processing the D:\ drive. 2808 files processed.
The C:\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\ folder does not exist!!
Unhide cannot restore your missing shortcuts!!
Please see this topic in order to learn how to restore default
Start Menu shortcuts: hxxp://www.bleepingcomputer.com/forums/topic405109.html
Searching for Windows Registry changes made by FakeHDD rogues.
- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
No registry changes detected.
Program finished at: 03/02/2012 06:55:23 PM
Execution time: 0 hours(s), 0 minute(s), and 26 seconds(s)
Gruß und einen schönen Abend, julius |
|
03.03.2012, 01:30
| #12 |
| /// Selecta Jahrusso | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Versuchen wir mal folgendes. Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter xcopy /s /e "C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\4" "%ALLUSERSPROFILE%\Desktop"
xcopy /s /e "C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\2" "%appdata%\Microsoft\Internet Explorer\Quick Launch"
xcopy /s /e "C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1" "%ALLUSERSPROFILE%\Start Menu"
cls
color f2
echo Erledigt. Datei wird sich nun löschen
pause
del %0
Berichte, ob das Start Menu immer noch leer ist.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie Geändert von Larusso (03.03.2012 um 01:47 Uhr) |
|
03.03.2012, 01:56
| #13 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Hallo, scheint immer noch nicht so richtig zu funktionieren. Anbei mal ein screenshot des Startmenüs - Ordner sind soweit ich das sehe alle da, nur eben größtenteils leer (siehe z.B. ../Zubehör/Systemprogramme) |
|
03.03.2012, 02:49
| #14 |
| /// Selecta Jahrusso | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Lass mich mal was anderes prüfen. Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter chcp 1252
xcopy /s /e "C:\Qoobox\Quarantine\C\DOKUME~1\juuu\LOKALE~1\Temp\smtmp\1" "%ALLUSERSPROFILE%\Start Menü"
del %0
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie Geändert von Larusso (03.03.2012 um 02:57 Uhr) |
|
05.03.2012, 22:26
| #15 |
| | TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Ahoi, nun hats mich erwischt, lag mit erkältung im Bett. Bin so vorgegangen wie beschrieben, habe leider keine Veränderung zum vorherigen Stand feststellen können.. Startmenü enthält noch immer nur die leeren Ordner. |
|
| Themen zu TR/Sirefef.BV.2 // System Check // Desktop unsichtbar |
| antivir guard, avira, desktop leer, einstellungen, firefox, maßnahme, plug-in, popups, problem, recycle.bin, sirefef.bv.2, svchost, svchost.exe, system, system check, taskmanager, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/sirefef.bv.2, trojaner, win32:sirefef-btt, windows, windows xp, xpack.gen8 |
Textbox.
Linear-Darstellung
