Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.04.2012, 19:29   #1
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



AntiVir hatte mir den TR/Crypt.XPACK.Gen8 am 1.4.2011 tr/crypt.zpack.gen8 gemeldet. Die gleichen Symptome wie bei "TR/Crypt.ZPACK.GEN8 - nach Start schwarzer Desktop, keine Progr./Dateien; AVIRA Warnung, Systemfehle" oder "TR/Crypt.XPACK.Gen2".
Es gingen auch immer wieder dutzende angebliche Fehlermeldungen auf (System Error. Hard disk failure usw.). Eine Meldung sah wie eine Systemmeldung aus, bei der das System gescannt werden sollte. Führte aber zu einem Neustart (ich erinnere mich nicht mehr genau).

Gefunden wurde dieser TR bei drei Dokumenten durch die Prozess-Suchroutine. Den letzten Report poste ich hier. Falls ich die anderen Rports auch posten soll, bitte bescheid geben.
Die Dateien wurden in Quarantäne geschoben, TR tauchte später aber wieder auf, daher 3mal die Angabem aber immer mit anderem Dateinamen.

Hier der Report:
Code:
ATTFilter
 
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 1. April 2012  18:38
 
Es wird nach 3569473 Virenstämmen gesucht.
 
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
 
Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : BRAND_2-66GHZ
 
Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  03.07.2011 11:24:33
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  03.07.2011 11:24:32
LUKE.DLL       : 10.3.0.5       45416 Bytes  03.07.2011 11:24:42
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  03.07.2011 11:24:44
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 17:20:54
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:52:19
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 08:55:12
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 17:56:01
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:07:15
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 17:07:16
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 17:07:16
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 17:07:17
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 17:07:17
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 17:07:17
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 17:07:17
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 17:07:17
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 17:07:17
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 17:07:18
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 17:07:23
VBASE015.VDF   : 7.11.26.108     2048 Bytes  30.03.2012 17:07:23
VBASE016.VDF   : 7.11.26.109     2048 Bytes  30.03.2012 17:07:23
VBASE017.VDF   : 7.11.26.110     2048 Bytes  30.03.2012 17:07:23
VBASE018.VDF   : 7.11.26.111     2048 Bytes  30.03.2012 17:07:23
VBASE019.VDF   : 7.11.26.112     2048 Bytes  30.03.2012 17:07:24
VBASE020.VDF   : 7.11.26.113     2048 Bytes  30.03.2012 17:07:25
VBASE021.VDF   : 7.11.26.114     2048 Bytes  30.03.2012 17:07:25
VBASE022.VDF   : 7.11.26.115     2048 Bytes  30.03.2012 17:07:25
VBASE023.VDF   : 7.11.26.116     2048 Bytes  30.03.2012 17:07:26
VBASE024.VDF   : 7.11.26.117     2048 Bytes  30.03.2012 17:07:26
VBASE025.VDF   : 7.11.26.118     2048 Bytes  30.03.2012 17:07:26
VBASE026.VDF   : 7.11.26.119     2048 Bytes  30.03.2012 17:07:26
VBASE027.VDF   : 7.11.26.120     2048 Bytes  30.03.2012 17:07:26
VBASE028.VDF   : 7.11.26.121     2048 Bytes  30.03.2012 17:07:26
VBASE029.VDF   : 7.11.26.122     2048 Bytes  30.03.2012 17:07:26
VBASE030.VDF   : 7.11.26.123     2048 Bytes  30.03.2012 17:07:26
VBASE031.VDF   : 7.11.26.140   154624 Bytes  30.03.2012 17:07:29
Engineversion  : 8.2.10.34 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  27.10.2011 07:52:43
AESCRIPT.DLL   : 8.1.4.15      442747 Bytes  30.03.2012 17:08:21
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 10:12:16
AESBX.DLL      : 8.2.5.5       606579 Bytes  14.03.2012 18:33:03
AERDL.DLL      : 8.1.9.15      639348 Bytes  21.09.2011 17:46:45
AEPACK.DLL     : 8.2.16.9      807287 Bytes  30.03.2012 17:08:15
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 16:06:51
AEHEUR.DLL     : 8.1.4.10     4551031 Bytes  30.03.2012 17:08:06
AEHELP.DLL     : 8.1.19.0      254327 Bytes  20.01.2012 16:30:20
AEGEN.DLL      : 8.1.5.23      409973 Bytes  11.03.2012 13:20:00
AEEXP.DLL      : 8.1.0.27       82293 Bytes  30.03.2012 17:08:22
AEEMU.DLL      : 8.1.3.0       393589 Bytes  24.11.2010 17:57:14
AECORE.DLL     : 8.1.25.6      201078 Bytes  16.03.2012 17:26:36
AEBB.DLL       : 8.1.1.0        53618 Bytes  06.11.2010 19:03:57
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  03.07.2011 11:24:31
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 15:49:22
AVARKT.DLL     : 10.0.26.1     255336 Bytes  03.07.2011 11:24:26
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  03.07.2011 11:24:29
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  03.07.2011 11:24:14
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  03.07.2011 11:24:14
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4fb6becc\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
 
Beginn des Suchlaufs: Sonntag, 1. April 2012  18:38
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OnlineCmdLineScanner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DiskInfo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'suservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mounter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DkService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Software4u.IPELauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rmIhrYfwFjUdy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicPvt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICO.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRONoMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ooGiwDGEUnWAV2.exe'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ooGiwDGEUnWAV2.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c51244d.qua' verschoben!
 
 
Ende des Suchlaufs: Sonntag, 1. April 2012  18:39
Benötigte Zeit: 01:01 Minute(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
      0 Verzeichnisse wurden überprüft
     65 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     64 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

Heute, 4.4.2012 habe ich Antivir nochmal scannen lassen (nachdem ich am 1.4. entnervt den PC habe links liegen lassen).
Antivir hat TR/Offend.kdv.585087.1 gleich 2mal gefunden.
Laut Antivir in Quarantäne geschoben.

Hier logfile:

Code:
ATTFilter
 
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 4. April 2012  18:58
 
Es wird nach 3583229 Virenstämmen gesucht.
 
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
 
Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : BRAND_2-66GHZ
 
Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  03.07.2011 11:24:33
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  03.07.2011 11:24:32
LUKE.DLL       : 10.3.0.5       45416 Bytes  03.07.2011 11:24:42
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  03.07.2011 11:24:44
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 17:20:54
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:52:19
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 08:55:12
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 17:56:01
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:07:15
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 17:07:16
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 17:07:16
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 17:07:17
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 17:07:17
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 17:07:17
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 17:07:17
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 17:07:17
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 17:07:17
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 17:07:18
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 17:07:23
VBASE015.VDF   : 7.11.26.179   224768 Bytes  02.04.2012 16:53:46
VBASE016.VDF   : 7.11.26.241   142336 Bytes  04.04.2012 16:53:51
VBASE017.VDF   : 7.11.26.242     2048 Bytes  04.04.2012 16:53:51
VBASE018.VDF   : 7.11.26.243     2048 Bytes  04.04.2012 16:53:51
VBASE019.VDF   : 7.11.26.244     2048 Bytes  04.04.2012 16:53:52
VBASE020.VDF   : 7.11.26.245     2048 Bytes  04.04.2012 16:53:53
VBASE021.VDF   : 7.11.26.246     2048 Bytes  04.04.2012 16:53:53
VBASE022.VDF   : 7.11.26.247     2048 Bytes  04.04.2012 16:53:54
VBASE023.VDF   : 7.11.26.248     2048 Bytes  04.04.2012 16:53:55
VBASE024.VDF   : 7.11.26.249     2048 Bytes  04.04.2012 16:53:55
VBASE025.VDF   : 7.11.26.250     2048 Bytes  04.04.2012 16:53:55
VBASE026.VDF   : 7.11.26.251     2048 Bytes  04.04.2012 16:53:56
VBASE027.VDF   : 7.11.26.252     2048 Bytes  04.04.2012 16:53:56
VBASE028.VDF   : 7.11.26.253     2048 Bytes  04.04.2012 16:53:56
VBASE029.VDF   : 7.11.26.254     2048 Bytes  04.04.2012 16:53:56
VBASE030.VDF   : 7.11.26.255     2048 Bytes  04.04.2012 16:53:57
VBASE031.VDF   : 7.11.27.2       2048 Bytes  04.04.2012 16:53:57
Engineversion  : 8.2.10.38 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  27.10.2011 07:52:43
AESCRIPT.DLL   : 8.1.4.16      446842 Bytes  04.04.2012 16:56:06
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 10:12:16
AESBX.DLL      : 8.2.5.5       606579 Bytes  14.03.2012 18:33:03
AERDL.DLL      : 8.1.9.15      639348 Bytes  21.09.2011 17:46:45
AEPACK.DLL     : 8.2.16.9      807287 Bytes  30.03.2012 17:08:15
AEOFFICE.DLL   : 8.1.2.27      201082 Bytes  04.04.2012 16:55:24
AEHEUR.DLL     : 8.1.4.12     4604278 Bytes  04.04.2012 16:55:19
AEHELP.DLL     : 8.1.19.1      254327 Bytes  04.04.2012 16:53:59
AEGEN.DLL      : 8.1.5.23      409973 Bytes  11.03.2012 13:20:00
AEEXP.DLL      : 8.1.0.28       82292 Bytes  04.04.2012 16:56:08
AEEMU.DLL      : 8.1.3.0       393589 Bytes  24.11.2010 17:57:14
AECORE.DLL     : 8.1.25.6      201078 Bytes  16.03.2012 17:26:36
AEBB.DLL       : 8.1.1.0        53618 Bytes  06.11.2010 19:03:57
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  03.07.2011 11:24:31
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 15:49:22
AVARKT.DLL     : 10.0.26.1     255336 Bytes  03.07.2011 11:24:26
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  03.07.2011 11:24:29
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  03.07.2011 11:24:14
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  03.07.2011 11:24:14
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
 
Beginn des Suchlaufs: Mittwoch, 4. April 2012  18:58
 
Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rmIhrYfwFjUdy.exe
  [FUND]      Ist das Trojanische Pferd TR/Offend.kdv.585087.1
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'DiskInfo.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'suservice.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'mounter.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DkService.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Software4u.IPELauncher.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrvMon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'rmIhrYfwFjUdy.exe' - '51' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rmIhrYfwFjUdy.exe>
  [FUND]      Ist das Trojanische Pferd TR/Offend.kdv.585087.1
  [WARNUNG]   Der Prozess <rmIhrYfwFjUdy.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rmIhrYfwFjUdy.exe> wurde erfolgreich repariert.
  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
  [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Eine Exception wurde abgefangen!
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicPvt.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICO.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRONoMgr.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rmIhrYfwFjUdy.exe
  [FUND]      Ist das Trojanische Pferd TR/Offend.kdv.585087.1
  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
  [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
  [HINWEIS]   Eine Instanz der ARK Library läuft bereits.
  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
         
Antivir sagt jetzt ich möge neustarten, dabei läuft ein weiteres Suchfenster. Ich bin etwas verunsichert, ob wirklich alles beseitigt wurde.
Ich lass erstmal Antivir durchlaufen (kann dauern). Oh, gerade wieder eine Infizierung gefunden.
Lasse weiter laufen.

Ist durchgelaufen, weiteres Log folgt:
Ein weiterer TR von Antivir gefunden.

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 4. April 2012  18:58
 
Es wird nach 3583229 Virenstämmen gesucht.
 
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
 
Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : BRAND_2-66GHZ
 
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
 
Beginn des Suchlaufs: Mittwoch, 4. April 2012  18:58
 
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\windows\system32\ntmsdata\ntmsjrnl
  [HINWEIS]   Die Datei ist nicht sichtbar.
 
 
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1220' Dateien ).
 
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP294\A0060840.exe
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP295\A0061625.exe
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP309\A0063875.exe
  [FUND]      Ist das Trojanische Pferd TR/Offend.kdv.585087.1
Beginne mit der Suche in 'D:\' <IBM_SERVICE>
Beginne mit der Suche in 'G:\' <Volume>
 
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E5F60CD9-B415-456A-AF6F-FB2C3136A6C0}\RP309\A0063875.exe
  [FUND]      Ist das Trojanische Pferd TR/Offend.kdv.585087.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4528673a.qua' verschoben!
 
 
Ende des Suchlaufs: Mittwoch, 4. April 2012  23:56
Benötigte Zeit:  3:12:52 Stunde(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
  23349 Verzeichnisse wurden überprüft
 1349668 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1349667 Dateien ohne Befall
  20357 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise
 604691 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         
Fahre jetzt runter. Bin gespannt wie es ist wenn ich morgen abend wieder hochfahre.

Heute wieder hochgefahren: Hintergrund immernoch schwarz bzw. blau und Die Programmverknüpfungen auf dem Desktop immernoch weg.
Ich weiss leider nicht, ob auch alle Viren/Tr. weg sind.

Jetzt brauche ich Eure Hilfe!

Die Dateien von OTL kommen im folgenden:

OTL.txt
Code:
ATTFilter
OTL logfile created on: 05.04.2012 18:26:29 - Run 1
OTL by OldTimer - Version 3.2.39.2     Folder = H:\so startbar
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
766,98 Mb Total Physical Memory | 197,28 Mb Available Physical Memory | 25,72% Memory free
2,71 Gb Paging File | 2,10 Gb Available in Paging File | 77,71% Paging File free
Paging file location(s): C:\pagefile.sys 2048 2048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 78,14 Gb Total Space | 55,76 Gb Free Space | 71,36% Space Free | Partition Type: NTFS
Drive D: | 27,99 Gb Total Space | 24,07 Gb Free Space | 86,02% Space Free | Partition Type: FAT32
Drive G: | 359,62 Gb Total Space | 43,80 Gb Free Space | 12,18% Space Free | Partition Type: NTFS
Drive H: | 1,86 Gb Total Space | 1,42 Gb Free Space | 76,31% Space Free | Partition Type: FAT32
Drive I: | 1,88 Gb Total Space | 0,54 Gb Free Space | 28,42% Space Free | Partition Type: FAT
 
Computer Name: BRAND_2-66GHZ | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.04.01 20:15:18 | 000,593,920 | ---- | M] (OldTimer Tools) -- H:\so startbar\OTL.exe
PRC - [2012.01.06 23:56:36 | 000,132,608 | -H-- | M] (Marx Softwareentwicklung - www.software4u.de) -- C:\Programme\Software4u\iDevice Manager\Software4u.IPELauncher.exe
PRC - [2011.11.03 16:44:28 | 000,497,280 | -H-- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe
PRC - [2011.11.03 16:44:24 | 000,738,944 | -H-- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ForceField.exe
PRC - [2011.10.24 22:32:00 | 000,055,144 | -H-- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2011.10.24 09:53:38 | 002,565,632 | -H-- | M] (Deutsche Telekom AG) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
PRC - [2011.07.03 13:24:30 | 000,269,480 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.04.29 21:33:02 | 000,136,360 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.06 21:03:58 | 000,281,768 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.10.13 00:11:36 | 000,999,384 | -H-- | M] (Crystal Dew World) -- C:\Programme\CrystalDiskInfo\DiskInfo.exe
PRC - [2010.07.05 14:39:28 | 000,022,016 | -H-- | M] () -- C:\Programme\Dokan\DokanLibrary\mounter.exe
PRC - [2010.07.04 20:07:40 | 000,238,952 | -H-- | M] (Teruten) -- C:\WINDOWS\system32\FsUsbExService.Exe
PRC - [2010.06.17 21:56:44 | 000,370,176 | -H-- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2010.01.14 23:10:53 | 000,076,968 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.06.12 11:55:48 | 000,028,672 | -H-- | M] (Lenovo Group Limited) -- c:\Programme\Lenovo\System Update\SUService.exe
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2008.10.24 17:35:44 | 000,128,296 | -H-- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.03.04 11:34:20 | 000,487,424 | -H-- | M] (Lenovo Group Limited) -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
PRC - [2008.03.04 11:34:12 | 001,122,304 | -H-- | M] (Lenovo Group Limited) -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
PRC - [2008.02.11 12:07:54 | 001,097,728 | -H-- | M] (Samsung Electronics, Inc.) -- C:\Programme\MagicRotation\MagicPvt.exe
PRC - [2007.09.26 18:34:46 | 000,644,408 | -H-- | M] (Lenovo Group Limited) -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
PRC - [2007.04.26 15:33:52 | 000,049,152 | -H-- | M] (Primax Electronics Ltd.) -- C:\WINDOWS\system32\ico.exe
PRC - [2005.10.06 05:20:00 | 000,122,940 | -H-- | M] (Sonic Solutions) -- C:\WINDOWS\system32\dla\DLACTRLW.EXE
PRC - [2005.09.27 23:26:12 | 000,622,700 | -H-- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
PRC - [2004.09.22 10:53:14 | 000,053,248 | -H-- | M] (Alcor Micro, Corp.) -- C:\WINDOWS\system32\DrvMon.exe
PRC - [2004.07.27 16:50:18 | 000,081,920 | -H-- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
PRC - [2003.03.11 17:24:40 | 000,086,016 | -H-- | M] (Intel(R) Corporation) -- C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
PRC - [2002.09.21 01:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.02.17 15:13:00 | 000,256,000 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\bd3bfd5b6ef659dac4d6cccb34577d33\SMDiagnostics.ni.dll
MOD - [2012.02.17 15:12:50 | 017,403,904 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\1cdcd6d97627d345d5ff446e6ec88b97\System.ServiceModel.ni.dll
MOD - [2012.02.17 15:12:16 | 002,345,472 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\f2532204217dc10f152afd077b09927c\System.Runtime.Serialization.ni.dll
MOD - [2012.02.17 15:12:09 | 001,070,080 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\8ef05061cd205c4f2a8583d97f32a603\System.IdentityModel.ni.dll
MOD - [2012.02.17 14:46:16 | 011,817,472 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\29bdc8352d3c26e3c572ea60639dec3b\System.Web.ni.dll
MOD - [2012.02.17 14:44:40 | 012,430,848 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ad99ac6b5666edb8ee742dd64f9578af\System.Windows.Forms.ni.dll
MOD - [2012.02.17 14:44:25 | 001,587,200 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\9351cf29bb1ba951e45a9b3b0edab937\System.Drawing.ni.dll
MOD - [2012.02.17 14:44:09 | 005,450,752 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\77e1279cbf4eecfb0284b63316fe43fe\System.Xml.ni.dll
MOD - [2012.02.17 14:43:50 | 000,971,264 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\94a40f415bfa947e251888bbe88bb973\System.Configuration.ni.dll
MOD - [2012.02.17 14:43:46 | 000,212,992 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\11dcb806c92f55111f5fa9f1a90e3bdd\System.ServiceProcess.ni.dll
MOD - [2012.02.17 14:43:05 | 007,953,408 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\9e3803cd2a11f056291862e306a8e2b2\System.ni.dll
MOD - [2012.01.06 23:56:36 | 000,308,224 | -H-- | M] () -- C:\Programme\Software4u\iDevice Manager\Software4u.IDeviceLib.dll
MOD - [2011.10.14 19:45:08 | 011,490,816 | -H-- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\ca87ba84221991839abbe7d4bc9c6721\mscorlib.ni.dll
MOD - [2011.09.27 08:23:00 | 000,087,912 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 08:22:40 | 001,242,472 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2010.07.05 14:39:28 | 000,022,016 | -H-- | M] () -- C:\Programme\Dokan\DokanLibrary\mounter.exe
MOD - [2010.06.17 21:56:52 | 000,116,224 | -H-- | M] () -- C:\WINDOWS\system32\redmonnt.dll
MOD - [2010.01.28 14:57:53 | 000,355,688 | -H-- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2009.05.19 16:34:38 | 000,315,392 | -H-- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2009.05.19 16:34:34 | 000,167,936 | -H-- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Xml.resources\2.0.0.0_de_b77a5c561934e089\System.Xml.resources.dll
MOD - [2009.05.19 16:34:33 | 000,040,960 | -H-- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll
MOD - [2008.10.24 17:35:44 | 000,128,296 | -H-- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.11.09 21:05:42 | 002,420,616 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon)
SRV - [2011.11.03 16:44:28 | 000,497,280 | -H-- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc)
SRV - [2011.10.24 22:32:00 | 000,055,144 | -H-- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011.10.24 09:53:38 | 002,565,632 | -H-- | M] (Deutsche Telekom AG) [Auto | Running] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2011.07.03 13:24:30 | 000,269,480 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.29 21:33:02 | 000,136,360 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.07.05 14:39:28 | 000,022,016 | -H-- | M] () [Auto | Running] -- C:\Programme\Dokan\DokanLibrary\mounter.exe -- (DokanMounter)
SRV - [2010.07.04 20:07:40 | 000,238,952 | -H-- | M] (Teruten) [Auto | Running] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2009.06.12 11:55:48 | 000,028,672 | -H-- | M] (Lenovo Group Limited) [Auto | Running] -- c:\Programme\Lenovo\System Update\SUService.exe -- (SUService)
SRV - [2008.10.24 17:35:44 | 000,128,296 | -H-- | M] () [Auto | Running] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2008.03.04 11:34:12 | 001,122,304 | -H-- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- (TVT Scheduler)
SRV - [2007.09.26 18:34:46 | 000,644,408 | -H-- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe -- (ThinkVantage Registry Monitor Service)
SRV - [2005.09.27 23:26:12 | 000,622,700 | -H-- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)
SRV - [2003.03.03 13:33:40 | 000,143,360 | -H-- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Programme\Intel\NCS\Sync\NetSvc.exe -- (NetSvc)
SRV - [2002.09.21 01:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\PMEMNT.SYS -- (PMEM)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pcdrndisuio.sys -- (PcdrNdisuio)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.11.09 21:01:38 | 000,525,840 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (Vsdatant)
DRV - [2011.11.03 16:44:20 | 000,027,016 | -H-- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2011.07.03 13:24:44 | 000,138,192 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.03 13:24:44 | 000,066,616 | -H-- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.09.16 17:02:33 | 000,035,040 | -H-- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3)
DRV - [2010.07.15 09:44:20 | 000,013,192 | -H-- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\epmntdrv.sys -- (epmntdrv)
DRV - [2010.07.15 09:44:20 | 000,008,456 | -H-- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\EuGdiDrv.sys -- (EuGdiDrv)
DRV - [2010.07.05 14:39:30 | 000,084,608 | -H-- | M] (Windows (R) Win 7 DDK provider) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\dokan.sys -- (Dokan)
DRV - [2010.06.14 10:32:54 | 000,036,608 | -H-- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2010.04.27 04:25:14 | 000,132,608 | -H-- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssm_mdm.sys -- (ssm_mdm)
DRV - [2010.04.27 04:25:14 | 000,104,448 | -H-- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssm_bus.sys -- (ssm_bus) SAMSUNG Mobile USB Device II 1.0 driver (WDM)
DRV - [2010.04.27 04:25:14 | 000,014,848 | -H-- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssm_mdfl.sys -- (ssm_mdfl)
DRV - [2009.05.11 11:12:49 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.27 02:16:28 | 000,012,672 | -H-- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz132_x32.sys -- (cpuz132)
DRV - [2009.02.13 12:35:01 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 20:56:06 | 000,088,320 | -H-- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2006.02.21 21:46:26 | 001,505,792 | -H-- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.11.14 03:26:34 | 000,009,728 | RH-- | M] (Samsung Electronics, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\magicpvt.sys -- (magicpvt)
DRV - [2005.10.06 05:20:00 | 000,094,332 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005.10.06 05:20:00 | 000,087,036 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005.10.06 05:20:00 | 000,086,524 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005.10.06 05:20:00 | 000,025,628 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005.10.06 05:20:00 | 000,014,684 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005.10.06 05:20:00 | 000,006,364 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005.10.06 05:20:00 | 000,002,496 | -H-- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\dla\DLADResN.SYS -- (DLADResN)
DRV - [2005.08.25 12:16:52 | 000,005,628 | -H-- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005.08.25 12:16:16 | 000,022,684 | -H-- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2003.06.17 12:39:00 | 000,009,856 | -H-- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc)
DRV - [2003.01.20 23:28:18 | 000,018,048 | -H-- | M] (Primax Electronics Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pelps2m.sys -- (pelps2m)
DRV - [2003.01.10 14:55:32 | 000,016,384 | -H-- | M] (Primax Electronics Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\PELMouse.SYS -- (pelmouse)
DRV - [2001.08.18 13:00:00 | 000,063,232 | -H-- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2001.08.18 13:00:00 | 000,055,936 | -H-- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2001.08.10 07:00:00 | 000,003,252 | -H-- | M] () [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\PQNTDRV.SYS -- (PQNTDrv)
DRV - [2001.01.01 00:32:57 | 000,030,144 | -H-- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2000.07.24 01:01:00 | 000,019,537 | -H-- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\BRPAR.SYS -- (BrPar)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZon1.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {AD767AC2-0042-410B-AA2B-23C18214E7DF}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{AD767AC2-0042-410B-AA2B-23C18214E7DF}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm Security Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.50
FF - prefs.js..extensions.enabledItems: {ada4b710-8346-4b82-8199-5de2b400a6ae}:1.9.9.3.1
FF - prefs.js..extensions.enabledItems: toggleprivatebrowsing@supernova00.biz:1.8
FF - prefs.js..extensions.enabledItems: zotero@chnm.gmu.edu:2.1.5
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {91da5e8a-3318-4f8c-b67e-5964de3ab546}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.240.0
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3}:2.0.2
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10
FF - prefs.js..extensions.enabledItems: brief@mozdev.org:1.5.4
FF - prefs.js..extensions.enabledItems: feedly@devhd:5.5
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.14.2
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.1.0.2
FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&q="
FF - prefs.js..network.proxy.type: 2
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Programme\DivX\DivX Content Uploader\npUpload.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX OVS Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.4: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2010.12.10 00:36:29 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2010.12.10 00:36:29 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2012.03.10 11:14:37 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.26 14:25:23 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.22 12:07:57 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.12.22 12:07:58 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.12.22 12:07:57 | 000,000,000 | -H-D | M]
 
[2010.09.07 20:15:10 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.09.07 20:15:10 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.03.31 10:15:05 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions
[2011.12.08 00:06:57 | 000,000,000 | -H-D | M] (Forecastfox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}
[2012.03.17 13:23:45 | 000,000,000 | -H-D | M] (Flagfox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
[2010.07.30 22:27:55 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.02.24 20:51:01 | 000,000,000 | -H-D | M] (ReminderFox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\{ada4b710-8346-4b82-8199-5de2b400a6ae}
[2011.04.17 13:11:28 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\brief@mozdev.org
[2009.07.12 18:44:00 | 000,000,000 | -H-D | M] (Toggle Private Browsing) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\toggleprivatebrowsing@supernova00.biz
[2012.02.25 20:21:18 | 000,000,000 | -H-D | M] (Zotero) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\extensions\zotero@chnm.gmu.edu
[2010.08.19 22:08:14 | 000,000,939 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a5dfqopo.default\searchplugins\conduit.xml
[2011.11.30 19:48:56 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\{D40F5E7B-D2CF-4856-B441-CC613EEFFBE3}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\A5DFQOPO.DEFAULT\EXTENSIONS\FEEDLY@DEVHD.XPI
[2012.03.26 14:25:22 | 000,097,208 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010.11.12 19:53:06 | 000,472,808 | -H-- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010.01.14 00:46:00 | 000,063,488 | -H-- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2012.02.06 20:43:08 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.06 20:43:08 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.02.06 20:43:08 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.06 20:43:08 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.06 20:43:08 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.06 20:43:08 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.10.04 20:10:17 | 000,437,691 | RH-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    1000gratisproben.com
O1 - Hosts: 127.0.0.1    www.1000gratisproben.com
O1 - Hosts: 127.0.0.1    1001namen.com
O1 - Hosts: 127.0.0.1    www.1001namen.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    www.1-2005-search.com
O1 - Hosts: 127.0.0.1    1-2005-search.com
O1 - Hosts: 15053 more lines...
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Toolbar) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZon1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\irprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\dla\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [MagicRotation] C:\Programme\MagicRotation\MagicPvt.exe (Samsung Electronics, Inc.)
O4 - HKLM..\Run: [Mouse Suite 98 Daemon] C:\WINDOWS\System32\ico.exe (Primax Electronics Ltd.)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe (Intel(R) Corporation)
O4 - HKLM..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [UIUCU] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S File not found
O4 - HKLM..\Run: [ZoneAlarm] C:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [CrystalDiskInfo] C:\Programme\CrystalDiskInfo\DiskInfo.exe (Crystal Dew World)
O4 - HKCU..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe (Alcor Micro, Corp.)
O4 - HKCU..\Run: [iDevice Manager Launcher] C:\Programme\Software4u\iDevice Manager\Software4u.IPELauncher.exe (Marx Softwareentwicklung - www.software4u.de)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewOnDrive = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265466719921 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1265466711250 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F3387CD6-D0FF-4C2F-9472-8D3ED6C91F54}: NameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2007.06.21 19:33:49 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,114 | -H-- | M] () - D:\AUTOEXEC.BBB -- [ FAT32 ]
O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,114 | -H-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,114 | -H-- | M] () - D:\AUTOEXEC.ccc -- [ FAT32 ]
O32 - AutoRun File - [2003.04.11 17:43:32 | 000,000,135 | -H-- | M] () - D:\AUTOEXEC.USB -- [ FAT32 ]
O33 - MountPoints2\{7c35592c-6328-11de-9120-00096bafc6f5}\Shell - "" = AutoRun
O33 - MountPoints2\{7c35592c-6328-11de-9120-00096bafc6f5}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7c35592c-6328-11de-9120-00096bafc6f5}\Shell\AutoRun\command - "" = G:\loader.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.04 19:04:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2012.04.01 18:33:41 | 000,000,000 | -H-D | C] -- C:\Programme\ESET
[2012.04.01 17:50:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2012.04.01 17:46:48 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2012.04.01 17:08:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\NtmsData
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[14 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.05 18:21:09 | 000,001,170 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.04.05 18:19:41 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System32\PSLOG
[2012.04.05 18:19:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.04.05 18:19:27 | 000,000,016 | -H-- | M] () -- C:\WINDOWS\System32\magicpvt.dat
[2012.04.05 18:19:26 | 804,311,040 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.04 18:53:11 | 000,415,916 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2012.03.31 19:44:27 | 000,005,493 | -H-- | M] () -- C:\WINDOWS\wincmd.ini
[2012.03.26 20:33:34 | 000,015,398 | -H-- | M] () -- C:\WINDOWS\Administrator.acl
[2012.03.16 19:24:07 | 000,126,912 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.03.14 21:05:12 | 000,001,374 | -H-- | M] () -- C:\WINDOWS\imsins.BAK
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[14 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.04.01 17:34:17 | 804,311,040 | -HS- | C] () -- C:\hiberfil.sys
[2012.02.15 20:07:09 | 000,003,072 | -H-- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.12.30 19:58:01 | 000,110,592 | -H-- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2011.12.30 19:58:01 | 000,036,608 | -H-- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2011.12.30 19:57:52 | 000,002,528 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\$_hpcst$.hpc
[2011.12.23 12:24:31 | 000,074,720 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011.11.21 21:32:01 | 000,018,876 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.12.20 10:46:14 | 000,484,352 | -H-- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2010.12.20 00:19:12 | 002,217,088 | -H-- | C] () -- C:\WINDOWS\System32\BootMan.exe
[2010.12.20 00:19:12 | 000,086,408 | -H-- | C] () -- C:\WINDOWS\System32\setupempdrv03.exe
[2010.12.20 00:19:12 | 000,014,848 | -H-- | C] () -- C:\WINDOWS\System32\EuEpmGdi.dll
[2010.12.20 00:19:12 | 000,013,192 | -H-- | C] () -- C:\WINDOWS\System32\epmntdrv.sys
[2010.12.20 00:19:12 | 000,008,456 | -H-- | C] () -- C:\WINDOWS\System32\EuGdiDrv.sys
[2010.11.12 23:05:56 | 000,212,992 | -H-- | C] () -- C:\WINDOWS\System32\Bot.dll
[2010.11.12 23:05:56 | 000,000,101 | -H-- | C] () -- C:\WINDOWS\PSXLPR.INI
[2010.10.22 23:31:01 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2010.10.22 23:31:01 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2010.10.03 16:59:21 | 000,050,688 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.05 14:39:26 | 000,044,032 | -H-- | C] () -- C:\WINDOWS\System32\dokan.dll
 
========== LOP Check ==========
 
[2011.10.12 19:37:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AAV
[2010.11.03 22:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint
[2010.12.20 10:03:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DeepBurner
[2001.01.01 00:32:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Downloaded Installations
[2010.12.20 10:46:19 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FreeAudioPack
[2011.07.24 15:58:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FreeCDRipper
[2011.07.26 21:13:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InfraRecorder
[2007.06.22 09:21:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterVideo
[2007.06.22 09:21:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech
[2010.12.10 00:36:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Local
[2010.02.06 18:03:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2009.05.02 13:17:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
[2011.12.30 19:57:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung
[2012.01.08 16:12:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Software4u
[2010.09.07 20:15:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2011.12.22 17:49:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WindSolutions
[2012.03.03 21:29:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XnView
[2011.10.12 19:37:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2011.11.16 20:49:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint
[2011.12.05 13:59:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fotokasten comfort
[2010.10.22 23:31:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2001.01.01 00:33:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lenovo
[2009.07.14 15:21:43 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2011.12.23 18:51:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2007.06.21 22:10:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC-Doctor
[2008.03.25 22:19:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCDr
[2011.12.30 19:58:55 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2008.03.14 10:27:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2011.12.22 17:49:52 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WindSolutions
[2011.11.21 21:19:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.12.22 13:02:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DD034EDF-8A92-4F84-A64A-26BF9B7AE354}
 
========== Purity Check ==========
 
 
 
< End of report >
         
Extras.txt
Code:
ATTFilter
OTL Extras logfile created on: 05.04.2012 18:26:29 - Run 1
OTL by OldTimer - Version 3.2.39.2     Folder = H:\so startbar
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
766,98 Mb Total Physical Memory | 197,28 Mb Available Physical Memory | 25,72% Memory free
2,71 Gb Paging File | 2,10 Gb Available in Paging File | 77,71% Paging File free
Paging file location(s): C:\pagefile.sys 2048 2048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 78,14 Gb Total Space | 55,76 Gb Free Space | 71,36% Space Free | Partition Type: NTFS
Drive D: | 27,99 Gb Total Space | 24,07 Gb Free Space | 86,02% Space Free | Partition Type: FAT32
Drive G: | 359,62 Gb Total Space | 43,80 Gb Free Space | 12,18% Space Free | Partition Type: NTFS
Drive H: | 1,86 Gb Total Space | 1,42 Gb Free Space | 76,31% Space Free | Partition Type: FAT32
Drive I: | 1,88 Gb Total Space | 0,54 Gb Free Space | 28,42% Space Free | Partition Type: FAT
 
Computer Name: BRAND_2-66GHZ | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\Winword.exe" /n ()
http [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"13364:UDP" = 13364:UDP:*:Enabled:Print Server Utility
"13107:UDP" = 13107:UDP:*:Enabled:Print Server Utility
"69:UDP" = 69:UDP:*:Enabled:Print Server Utility
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend) 
"13364:UDP" = 13364:UDP:*:Enabled:Print Server Utility
"13107:UDP" = 13107:UDP:*:Enabled:Print Server Utility
"69:UDP" = 69:UDP:*:Enabled:Print Server Utility
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"C:\Programme\Software4u\iDevice Manager\Software4u.IDeviceManager.exe" = C:\Programme\Software4u\iDevice Manager\Software4u.IDeviceManager.exe:*:Enabled:iDevice Manager -- (Marx Softwareentwicklung - www.software4u.de)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{13CD417D-F1F1-4AC4-945D-FDDEB884756F}" = Microsoft Baseline Security Analyzer 2.2
"{1CB92574-96F2-467B-B793-5CEB35C40C29}" = Image Resizer Powertoy for Windows XP
"{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}" = PowerQuest PartitionMagic 7.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{257F2279-6843-433E-9060-15BAB966F20D}" = Steuer-Spar-Erklärung Plus 2011
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java(TM) 6 Update 16
"{2ADE2157-7A5E-122C-B51D-EB8A01B15943}" = DeepBurner v1.9.0.228
"{2B120B1D-1908-4FB3-8C9D-72128A74E80A}" = ZoneAlarm Security
"{2FCE4FC5-6930-40E7-A4F1-F862207424EF}" = InterVideo WinDVD Creator 2
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3F8EB641-6AD2-45DE-A8DD-91D7BDD39CDE}" = Microsoft USB Flash Drive Manager
"{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler
"{6CE96A14-61E2-48CC-837E-22710A953ADE}" = IBM Themes
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{78D7D7CD-A06B-4514-ACBD-8055BF945A8E}" = InfoBibliothek 2
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{7FC3BBEC-5A91-41B0-9CB8-960EC4421411}" = InterVideo WinDVD Creator 3
"{7FD8B0C1-CDDA-4B4D-A577-B2E3570EA3A3}_is1" = iExplorer 2.2.1.3
"{80380166-A872-4B78-B98A-33447A032BDF}" = ThinkCentre Wallpaper
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{8675339C-128C-44DD-83BF-0A5D6ABD8297}" = System Update
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{9541FED0-327F-4DF0-8B96-EF57EF622F19}" = Sonic RecordNow!
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A386CC19-1E79-4D4C-A54B-C8747871E4AD}" = ZoneAlarm Firewall
"{A790BEB1-BCCF-4EC6-807B-5708B36E8A79}" = Intel(R) PROSet
"{AC76BA86-7AD7-1031-7B44-A83000000003}" = Adobe Reader 8.3.1 - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B5428E17-1886-4DBB-A148-DACBB60D7A3D}" = MagicRotation
"{B7DBF6E8-0D17-4BE4-853B-ACD6EFBD4A1F}" = iTunes
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCD2BAD2-0919-40CB-80CC-E9538B0E4C2E}" = Steuer-Spar-Erklärung 2012
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF44C7A5-5705-41E4-BE84-A9A42977AB05}" = IBM Cleanup Utility
"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D5A4CE1B-59ED-4D85-A3B2-6E0AFF448E4B}" = Diskeeper Lite
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F7E1CA14-B39D-452A-960B-39423DDDD933}" = DriveImage XML (Private Edition)
"{FD331A3B-F7A5-4C31-B8D4-DF413C85AF7A}" = Message Center Plus
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Brother 1450" = Brother 1450
"BROWNIE" = Brownie
"CPUID CPU-Z_is1" = CPUID CPU-Z 1.52.2
"CrystalDiskInfo_is1" = CrystalDiskInfo 3.9.1
"DivX Setup.divx.com" = DivX-Setup
"DokanLibrary" = Dokan Library 0.5.3
"DVD Decrypter" = DVD Decrypter (Remove Only)
"EASEUS Partition Master Home Edition_is1" = EASEUS Partition Master 6.5.2 Home Edition
"ESET Online Scanner" = ESET Online Scanner v3
"ExpressBurn" = Express Burn
"FE5AE7DC-7B01-4263-A94C-B4526C276550_is1" = iDevice Manager
"fotokasten comfort_is1" = fotokasten comfort 4.2
"Free Mp3 Wma Converter_is1" = Free Mp3 Wma Converter V 1.91
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 9.00" = GPL Ghostscript 9.00
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InfraRecorder" = InfraRecorder
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"IrfanView" = IrfanView (remove only)
"JAP" = JAP
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"MouseSuite98" = Lenovo Mouse Suite
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"Mozilla Thunderbird 11.0.1 (x86 de)" = Mozilla Thunderbird 11.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Netzmanager" = Netzmanager
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Office8.0" = Microsoft Office 97, Professional Edition
"Opera 11.60.1185" = Opera 11.60
"PC-Doctor 5 for Windows" = PC-Doctor 5 für Windows
"Picasa 3" = Picasa 3
"PrintServer Utilities" = PrintServer Utilities
"PROSet" = Intel(R) Network Connections Drivers
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Totalcmd" = Total Commander (Remove or Repair)
"VLC media player" = VLC media player 1.1.4
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XnView_is1" = XnView 1.91
"xp-AntiSpy" = xp-AntiSpy 3.96-4
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm Free" = ZoneAlarm Free
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"CopyTrans Suite" = CopyTrans Suite Remove Only
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 10 Event Log Errors ==========
 
[ Lenovo-Message Center Plus/Admin Events ]
Error - 27.12.2010 14:11:52 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 2
Description = Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt. ->
 Exception message: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
 
Error - 27.12.2010 14:25:01 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 21.01.2011 11:24:20 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 26.01.2011 06:46:28 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 26.01.2011 10:40:56 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 26.01.2011 14:47:33 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 27.01.2011 07:25:06 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 27.01.2011 15:31:23 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
Error - 05.02.2011 14:43:29 | Computer Name = BRAND_2-66GHZ | Source = Lenovo-Message Center Plus/Admin | ID = 4
Description = Relevancy program timed out for message 'MCPToLTT_ROW': LTTCheck.exe
 
[ System Events ]
Error - 04.04.2012 15:11:40 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
 
Error - 04.04.2012 15:11:42 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
 
Error - 04.04.2012 15:47:36 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
 
Error - 04.04.2012 15:47:39 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
 
Error - 04.04.2012 15:54:56 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
 
Error - 04.04.2012 15:54:58 | Computer Name = BRAND_2-66GHZ | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Ut163 USB2FlashStorage USB Device nicht laden.
 
Error - 05.04.2012 12:20:13 | Computer Name = BRAND_2-66GHZ | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 05.04.2012 12:20:39 | Computer Name = BRAND_2-66GHZ | Source = Service Control Manager | ID = 7000
Description = Der Dienst "PMEM" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 05.04.2012 12:20:39 | Computer Name = BRAND_2-66GHZ | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:   %%5
 
Error - 05.04.2012 12:21:25 | Computer Name = BRAND_2-66GHZ | Source = Service Control Manager | ID = 7023
Description = Der Dienst "WMI-Leistungsadapter" wurde mit folgendem Fehler beendet:
   %%2147500037
 
 
< End of report >
         
Was soll ich jetzt machen?
Danke im voraus

Alt 09.04.2012, 19:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Zitat:
"ESET Online Scanner" = ESET Online Scanner v3
Wo ist das Log vom ESET Online Scanner?

Zitat:
"{2B120B1D-1908-4FB3-8C9D-72128A74E80A}" = ZoneAlarm Security
ZoneAlarm ist kontraproduktiver Müll, bitte umgehend deinstallieren und die Windows-Firewall einschalten!
__________________

__________________

Alt 12.04.2012, 20:15   #3
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Habe endlich Zeit gefunden nach meiner momentanen hohen Arbeitsbelastung im Job mich um dieses Trojanerproblem zu kümmern:

Leider musste ich zuletzt aus Termingründen den ESET Online Scanner canceln.
Es besteht kein Log. Der ESEt will nach dem starten nicht mehr updaten. Sagt, dass schon Virendef. runtergeladen und upgedatet werden soll. Fragt, ob ein proxy an ist, was definitv nicht der Fall ist. Habe alle möglichen Blocker ausgeschaltet (Windows Firewall, Zonealarm deinstalled, interne Blocker von IE etc.). Nix hat funktioniert. Bin jetzt ratlos.
Please advise. Anderer Virenscanner?

Kurze Frage von general Interest: Warum ist Zonealarm Müll? Habe keine Antworten über Google gefunden. Habe letztens bei Onlinezeitung gelesen (weiss nicht mehr wo), dass Vorteil anderer Firewalls gegenüber Windows Firewall ist, dass auch ausgehende Programme geblockt werden und das Handling des ein- und ausgehenden Verkehrs besser läuft.
__________________

Alt 12.04.2012, 22:02   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Zitat:
Fragt, ob ein proxy an ist, was definitv nicht der Fall ist. Habe alle möglichen Blocker ausgeschaltet (Windows Firewall, Zonealarm deinstalled, interne Blocker von IE etc.). Nix hat funktioniert. Bin jetzt ratlos.
Proxy nochmal prüfen



Falsche Proxy Einstellungen entfernen
  • Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
  • Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
    wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)





Zitat:
Kurze Frage von general Interest: Warum ist Zonealarm Müll?
Wurde schon x-mal durchgekaut

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.04.2012, 07:01   #5
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Danke für die Links zu den Firewalls, die ich mir später ansehen werde.

Die Proxy-Einstellungen sehe ich mir heute abend mal an.

Habe jetzt mal über Nacht die Disinfect-CD von der c't mit den Virenscannern Kaspersky, Bitdefender, clamav durchlaufen lassen. Haben zum Glück nichts gefunden.

Hier die Logs nacheinander gepostet (aber nur die Kurzfassung, da mehr leider das disinfected-cd nicht zulässt):
Bitdefender

Code:
ATTFilter
//
// BitDefender scan report
//
// Time: Thu Apr 12 22:29:52 2012
// Command line: --log=/tmp/LOG_bitdefender.log /media/IBM_PRELOAD/WINDOWS 
// Core: AVCORE v2.1 Unix/i386 11.0.0.26 (Nov 17, 2011)
// Engines: scan: 15, unpack: 10, archive: 49, mail: 7
// Total signatures: 7062992
//


----------- SCAN SUMMARY -----------
Known viruses: 1190792
Engine version: 0.97.3
Scanned directories: 4230
Scanned files: 33990
Infected files: 0
Data scanned: 8952.60 MB
Data read: 8361.07 MB (ratio 1.07:1)
Time: 3314.396 sec (55 m 14 s)
         
Kaspersky
Code:
ATTFilter
2012-04-12 23:44:43	Scan_Objects$0006         starting   1%         
; --- Settings ---
; Action on detect:	Disinfect automatically
; Scan objects:		All objects
; Try disinfect:	No
; Try delete:		No
; Try delete container:	No
; Exclude by mask:	No
; Include by mask:	No
; Objects to scan:	
; 	"/media/IBM_PRELOAD/WINDOWS"	Enable=Yes	Recursive=Yes
; ------------------
2012-04-12 23:44:43	Scan_Objects$0006         running    1%         
2012-04-13 00:05:33	Scan_Objects$0006         completed             
;  --- Statistics ---
; Time Start:		2012-04-12 23:44:08
; Time Finish:		2012-04-13 00:05:30
; Completion:		100%
; Processed objects:	66960
; Total detected:	0
; Detected exact:	0
; Suspicions:		0
; Treats detected:	0
; Untreated:		0
; Disinfected:		0
; Quarantined:		0
; Deleted:		0
; Skipped:		0
; Archived:		654
; Packed:		1355
; Password protected:	0
; Corrupted:		0
; Errors:		0
; Last object:		
;  ------------------
         

clamav
Code:
ATTFilter
----------- SCAN SUMMARY -----------
Known viruses: 1190792
Engine version: 0.97.3
Scanned directories: 4230
Scanned files: 33990
Infected files: 0
Data scanned: 8952.60 MB
Data read: 8361.07 MB (ratio 1.07:1)
Time: 3314.396 sec (55 m 14 s)
         
Habe die Proxyeinstellung bei den Internetoptionen wie gefordert nochmals angesehen. War und ist kein Häkchen gesetzt. ESET will trotzdem keine Updates laden, warum auch immer. Angeblich wurden schon welche runtergeladen.
Ich habe ESET dann in den Einstellungen/Software deinstalliert ... siehe da es funktionierte.

Ist jetzt durchgelaufen und hat 9 infizeitre Dateien gefunden. Leider ist die Log-Datei nicht unter dem benannten Ordner (siehe http://www.trojaner-board.de/80603-e...ner-nod32.html) zu finden. Entweder es wurde versteckt oder es wurde nicht angelegt. Seltsam.

Was jetzt?


Alt 15.04.2012, 14:17   #6
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Ach ja, vergessen, hier weitere Info:
Zonealarm ist deinstalliert.
Der tr/crypt.zpack.gen8 und tr/offend.kdv.585087.1 wurden von Antivir in Quarantäne geschoben.
Die vom ESET Online scanner gefundenen infizierten Dateien wurde laut ESET gelöscht.

Leider habe ich immer noch das Problem des leeren Desktops und der nicht vorhandenen Dateistruktur. Ich bin mir sicher, dass diese Dateistruktur noch irgendwo vorhanden ist und die Dateien auch noch vorhanden. Anscheinend nur ein Pointer durch den TR verschoben?
Bräuchte Anweisung, wie man das ganze wieder herstellt.
Soll ich nochmal einen virenscan mit einem weiteren Virenscanner machen?

Danke im voraus.

Alt 15.04.2012, 16:03   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Zitat:
Der tr/crypt.zpack.gen8 und tr/offend.kdv.585087.1 wurden von Antivir in Quarantäne geschoben.
Die vom ESET Online scanner gefundenen infizierten Dateien wurde laut ESET gelöscht.
Ohne Logs wird das nichts

Zitat:
Soll ich nochmal einen virenscan mit einem weiteren Virenscanner machen?
Poste doch erstmal die schon vorhandenen Logs!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.04.2012, 18:39   #8
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Wie schon vorher geschrieben ist weder unter C:\Programme\Eset\EsetOnlineScanner\log.txt (oder C:\Programme\Eset\log.txt)
diese log-Datei zu finden.

Das einzige "log", das ich vom ESET habe folgt hier:

Code:
ATTFilter
G:\~neue Software\Setup_KRAC_EN.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
G:\~neue Software\YouTubeDownloaderSetup34.exe	Variante von Win32/Toolbar.Widgi Anwendung	gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_FreeConverter.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_FreeFlvConverter.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_FreeVideoConverter.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
G:\~neue Software\Bild+Videobearbeitung\Setup_MoviesToDVD.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
G:\~neue Software\Burner\Setup_FreeBurner.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
G:\~neue Software\DVDRipper prüfen\DVD Smart Ripper.exe	Variante von MSIL/Solimba.A Anwendung	gelöscht - in Quarantäne kopiert
G:\~neue Software\Video+Audio\Setup_FreeScreenVideo.exe	Mehrere Bedrohungen	gelöscht - in Quarantäne kopiert
         
Ich lasse gerade ESET nochmal durchlaufen. Das kann dauern.
Ich hoffe, dass dann eine log-Datei abgelegt wird.

Jetzt, weiss ich was das Problem ist.
Die Anleitung unter http://www.trojaner-board.de/80603-e...ner-nod32.html ist nicht verständlich/vollständig.

Ich habe aus einer Deiner Antworten (http://www.trojaner-board.de/112793-...n-verlust.html) den richtigen Zugriff gefunden ("%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"). Über diesen ist anscheinend das ESET-log zu öffnen.
Leider etwas zu spät. Jetzt muss ich den kompletten scan abwarten, da die alte log-datei wahrscheinlich überschrieben wurde. Mist.

Ich bitte um Überarbeitung der Anleitung: hxxp://www.trojaner-board.de/80603-eset-online-scanner-nod32.html.

Geändert von onoff (19.04.2012 um 18:48 Uhr)

Alt 19.04.2012, 18:55   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Zitat:
Die Anleitung unter ESET Online Scanner (NOD32) ist nicht verständlich/vollständig.
Hm, das höre/lese ich zum 1. Mal
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.04.2012, 19:15   #10
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Hallo Arne,

Unter der folgenden Anleitung "http://www.trojaner-board.de/80603-e...er-nod32.html" steht

"Eset Online Scanner (NOD32)
Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Nutzungsbedingungen akzeptieren und auf den Button "Start" drücken.
Einen Haken bei "Entdeckte Bedrohungen entfernen" und "Archive prüfen" machen.
Start drücken.
Signaturen werden heruntergeladen.
Der Scan beginnt automatisch.
Beenden drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (oder C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.

Logfile posten. "

Ich habe mit dem Explorer danach gesucht und kein Logfile gefunden. Aber mit dem Befehl "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt" unter Ausführen konnte ich ein aktuelles ESET log-file öffnen.

Hier der Beweis:
Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5cd87811a8c4de468f2298cecaa368e8
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 05:37:47
# local_time=2012-04-19 07:37:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 94 518 100337649 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 1557833 1557833 0 0
# scanned=2422
# found=0
# cleaned=0
# scan_time=1215
esets_scanner_update returned -1 esets_gle=53251
         
Es bietet sich an, Deine Anweisung in der Anleitung mit aufzunehmen.

Geändert von onoff (19.04.2012 um 19:29 Uhr)

Alt 19.04.2012, 19:17   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Zitat:
Es bietet sich an, Deine Lösung in der Anleitung mit aufzunehmen.
Das ist eine alte Anleitung wir haben längst eine neue:

Zitat:
ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.04.2012, 19:33   #12
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Hallo Arne,
Das ist natürlich blöd... Dachte, das wäre Eure aktuelle...
Dummerweise habe ich dadurch ne falsche Entscheidung gefällt.

Ach ja, zu den Logs: bisher habe das Log-file von Anitvir und von OTL gepostet.
ESET kommt jetzt noch.
Sollte ich mir unhide besorgen, da ich unter start und auf dem desktop nix finde aber unter der disìnfected cd alle Dateien sehen konnte?

Muss für heute mich verabschieden (fam. Verpflichtungen)

Gruß onoff

Hallo Arne,

hier das Logfile vom ESET:

Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5cd87811a8c4de468f2298cecaa368e8
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 05:37:47
# local_time=2012-04-19 07:37:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 94 518 100337649 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 1557833 1557833 0 0
# scanned=2422
# found=0
# cleaned=0
# scan_time=1215
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5cd87811a8c4de468f2298cecaa368e8
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 08:49:04
# local_time=2012-04-19 10:49:04 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 94 1777 100338908 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 1559092 1559092 0 0
# scanned=313033
# found=0
# cleaned=0
# scan_time=11433
         
Ich schlage vor, die alte Anleitung zu löschen.
Warte auf weitere Anweisungen.

Gruß onoff

Alt 20.04.2012, 08:42   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Hast du schon Malwarebytes ausgeführt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.04.2012, 17:51   #14
onoff
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



OK, hier Malewarebytes Quickscan:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.20.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: BRAND_2-66GHZ [Administrator]

20.04.2012 18:30:06
mbam-log-2012-04-20 (18-30-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 192812
Laufzeit: 5 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Der von MAlewarebytes gefundene TR, ist das der Überltäter? Oder habe ich multiple Infizierungen trotz Antivir gehabt?

Jetzt noch einen MAlewarebytes Vollscan?
Gruß Onoff

Alt 20.04.2012, 20:32   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - Standard

Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden



Ja mach bitte einen Vollscan mit Malwarebytes. Denk bitte ans Update vorher (Updatebutton von Malwarebytes klicken)

Überprüf alle lokalen Festplatten, nach Möglichkeit auch USB-Sticks und externe Platten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden
.dll, 0x00000001, 7-zip, antivir, avira, avira warnung, brief, conduit, cpu-z, crystaldiskinfo, decrypter, desktop, dllhost.exe, einstellungen, fontcache, iexplore.exe, infiziert, internet browser, lenovo, logfile, löschen, microsoft, modul, monitor, mozilla thunderbird, neustart, nicht gefunden, nodrives, nt.dll, programm, prozesse, quelldatei, registry, safer networking, searchscopes, services.exe, software, super, svchost.exe, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen8, tr/crypt.zpack.gen8, tr/offend.kdv.585087.1, trojaner, version=1.0, verweise, warnung, windows, windows internet, winlogon.exe



Ähnliche Themen: Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden


  1. TR/Crypt.ZPACK.Gen8 gefunden
    Log-Analyse und Auswertung - 23.01.2014 (5)
  2. Trojaner "TR/Crypt.ZPACK.Gen8" in C:\Users\johanna\AppData\Roaming\skype.dat via Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.09.2013 (7)
  3. Probleme mit der Tastatur und dann TR/Crypt.ZPACK.Gen8 von Avira gefunden...
    Log-Analyse und Auswertung - 31.05.2013 (4)
  4. TR/Crypt.ZPACK.Gen8 + TR/Injector.M
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (9)
  5. TR/Crypt.ZPACK.Gen8 in C:\Users\quattro\wgsdgsdgdsgsd.exe gefunden. PC war gesperrt.
    Plagegeister aller Art und deren Bekämpfung - 20.04.2013 (9)
  6. TR/Crypt.ZPACK.Gen8' [trojan] Malware
    Log-Analyse und Auswertung - 12.04.2013 (31)
  7. C:TR/Crypt.ZPACK.Gen8
    Log-Analyse und Auswertung - 12.03.2013 (23)
  8. TR/Crypt/ZPACK.Gen8 in Avira Quarantäne
    Log-Analyse und Auswertung - 04.03.2013 (20)
  9. TR/Crypt.ZPACK.GEN8 in C:\Windows\System32\wmidxu.dll durch Avira gefunden und isoliert
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (21)
  10. TR/Crypt.ZPACK.Gen8 und zweimal Adware
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (16)
  11. Avira findet TR/Crypt.ZPACK.Gen8, TR/Vcaredrix.A.3 und Tr/Crpyt.EPACK.Gen8
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (21)
  12. TR/Crypt.ZPACK.GEN8
    Log-Analyse und Auswertung - 09.06.2012 (6)
  13. TR/Crypt.ZPACK.Gen8 - Virusproblem
    Log-Analyse und Auswertung - 17.05.2012 (10)
  14. crypt.zpack.gen8, Trojaner auslöschen
    Log-Analyse und Auswertung - 16.05.2012 (6)
  15. TR/Crypt.ZPACK.Gen8 auf meinem Labtop
    Plagegeister aller Art und deren Bekämpfung - 08.05.2012 (9)
  16. TR/Crypt.ZPack.Gen8 - Entfernung
    Plagegeister aller Art und deren Bekämpfung - 25.04.2012 (1)
  17. (XPOST) TR/Crypt.ZPACK.Gen8 und die Folgen. Was tun?
    Mülltonne - 06.04.2012 (1)

Zum Thema Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden - AntiVir hatte mir den TR/Crypt.XPACK.Gen8 am 1.4.2011 tr/crypt.zpack.gen8 gemeldet. Die gleichen Symptome wie bei "TR/Crypt.ZPACK.GEN8 - nach Start schwarzer Desktop, keine Progr./Dateien; AVIRA Warnung, Systemfehle" oder "TR/Crypt.XPACK.Gen2". Es gingen auch - Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden...
Archiv
Du betrachtest: Am 1.4.2011 tr/crypt.zpack.gen8 gemeldet, heute als? TR/Offend.kdv.585087.1 gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.