| |
| |||||||
Log-Analyse und Auswertung: Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines SchädlingsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
04.04.2013, 17:14
| #1 |
| |  Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Liebes Trojaner-Board Team, glücklicherweise ist dies mein erster Besuch eures Forums. Seit einigen Wochen meldet AntiVir eine Speicherveränderung, jedoch keinen Fund von Malware oder Ähnlichem. Bei Scans im abgesicherten Modus und mit der Avira Rescue-CD bleibt diese Meldung aus. Auch Malwarebytes Anti-Malware findet nichts, dennoch bin ich etwas verunsichert. Ältere Logfiles als die hier geposteten habe ich leider nicht, da ich diese heute aus Versehen mit dem CCleaner gelöscht habe. Allerdings habe ich auf diesem System bislang noch keinen Schädling gefunden. Im Folgenden habe ich die ersten Schritte für Hilfesuchende abgearbeitet, also nach der Ausführung von defogger mit OTL und GMER Scans durchgeführt und entsprechend die Logfiles hier gepostet. Die Logfiles von AntiVir sind aufgrund ihrer Größe angehängt. Namen in allen Logfiles habe ich durch *-chen ersetzt. Ich hoffe das war richtig so. Besten Dank im Vorraus! Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.04.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 **** :: ****-LAPTOP [Administrator] 04.04.2013 13:46:43 mbam-log-2013-04-04 (13-46-43).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 250498 Laufzeit: 1 Stunde(n), 21 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) OTL: Code:
ATTFilter OTL logfile created on: 04.04.2013 15:21:39 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\****\Desktop\Proggis Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1022,11 Mb Total Physical Memory | 706,91 Mb Available Physical Memory | 69,16% Memory free 2,40 Gb Paging File | 2,05 Gb Available in Paging File | 85,31% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,44 Gb Total Space | 54,51 Gb Free Space | 73,22% Space Free | Partition Type: NTFS Computer Name: ****-LAPTOP | User Name: **** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.04.04 11:39:42 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\Proggis\OTL.exe PRC - [2013.04.04 10:32:50 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2013.04.04 10:32:21 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2013.04.04 10:32:17 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2013.04.04 10:32:16 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.01.09 18:36:06 | 000,795,208 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\ConversionService.exe PRC - [2013.01.09 18:34:26 | 001,324,104 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\HelperService.exe PRC - [2010.09.27 12:58:24 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe PRC - [2009.04.21 13:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) -- C:\WINDOWS\system32\hasplms.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2013.04.04 10:32:54 | 000,397,704 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2010.09.27 13:03:08 | 000,201,512 | ---- | M] () -- C:\WINDOWS\system32\vpnapi.dll MOD - [2007.11.17 03:03:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\Programme\Carl Zeiss\MTB 2011 -- (MTBService_2.0.0.13) SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - File not found [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe -- (CZCanSrv) SRV - [2013.04.04 10:32:50 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.04.04 10:32:17 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.03.13 18:18:19 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.08 11:53:33 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2013.01.09 18:36:06 | 000,795,208 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\ConversionService.exe -- (PDF Architect Service) SRV - [2013.01.09 18:34:26 | 001,324,104 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\HelperService.exe -- (PDF Architect Helper Service) SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2010.09.27 12:58:24 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND) SRV - [2009.04.21 13:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Auto | Running] -- C:\WINDOWS\system32\hasplms.exe -- (hasplms) SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.03.09 21:31:02 | 000,065,795 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\oz776.sys -- (guardian2) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\****\LOKALE~1\Temp\awlyqkoc.sys -- (awlyqkoc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService) DRV - [2013.04.04 10:33:10 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2013.04.04 10:33:10 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2013.04.04 10:33:10 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2013.04.04 10:33:10 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.09.27 12:56:00 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA) DRV - [2010.02.11 14:02:15 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6) DRV - [2009.10.26 05:47:30 | 004,221,952 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) DRV - [2009.07.09 15:18:56 | 000,587,776 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (hardlock) DRV - [2009.01.16 13:42:28 | 000,352,256 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\aksfridge.sys -- (aksfridge) DRV - [2008.11.16 19:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE) DRV - [2007.11.14 20:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2007.05.10 10:24:34 | 001,222,840 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA) DRV - [2007.01.18 21:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA) DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://www.bing.com/search?q={searchTerms} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.bing.com/search?q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://www.bing.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "about:home" FF - prefs.js..extensions.enabledAddons: adblockpopups%40jessehakanen.net:0.7 FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.5.9 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?rls=org.mozilla:en-US:official&client=firefox-a&q=" FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Programme\PDF Architect\FFPDFArchitectExt [2013.02.12 16:44:56 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 11:53:34 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.10.07 15:53:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Extensions [2013.03.30 18:19:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions [2013.03.03 17:04:03 | 000,134,804 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\adblockpopups@jessehakanen.net.xpi [2013.03.30 18:19:32 | 000,531,916 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2013.02.15 13:15:54 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013.02.12 17:01:42 | 000,006,362 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\searchplugins\Google.xml [2013.03.08 11:53:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2013.03.08 11:53:34 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.09.06 04:07:37 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (PDF Architect Helper) - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Programme\PDF Architect\PDFIEHelper.dll (pdfforge GbR) O3 - HKLM\..\Toolbar: (PDF Architect Toolbar) - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Programme\PDF Architect\PDFIEPlugin.dll (pdfforge GbR) O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico () O4 - Startup: C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00C207BB-4CD0-4CA8-B50C-43094D0E8473}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2012.10.07 14:26:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.04.04 13:47:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Logs [2013.04.04 13:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2013.04.04 13:45:26 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2013.04.04 13:45:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2013.04.04 12:23:49 | 000,000,000 | ---D | C] -- C:\Programme\Broadcom [2013.04.04 12:19:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Proggis [2013.04.04 10:40:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Avira [2013.04.04 10:34:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2013.04.04 10:34:09 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2013.04.04 10:34:05 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys [2013.04.04 10:34:05 | 000,084,744 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2013.04.04 10:34:05 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2013.04.04 09:55:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\****\Recent [2013.03.19 18:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Arbeitsamt [2013.03.08 11:53:19 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.04.04 15:19:17 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\****\defogger_reenable [2013.04.04 15:16:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2013.04.04 13:54:28 | 000,001,039 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Dropbox.lnk [2013.04.04 13:50:33 | 000,001,033 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Dropbox.lnk [2013.04.04 13:49:17 | 000,517,804 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.04.04 13:49:17 | 000,494,358 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.04.04 13:49:17 | 000,101,850 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.04.04 13:49:17 | 000,084,902 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.04.04 13:47:09 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001 [2013.04.04 13:45:32 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.04 13:44:20 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk [2013.04.04 13:44:13 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.04.04 13:43:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.04.04 10:34:31 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2013.04.04 10:33:10 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys [2013.04.04 10:33:10 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2013.04.04 10:33:10 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2013.04.04 10:33:10 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2013.03.20 15:44:30 | 000,011,776 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2013.03.20 13:29:06 | 000,411,216 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Personalausweis **** Zimmermann.pdf [2013.03.09 22:17:59 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.04.04 15:19:17 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\****\defogger_reenable [2013.04.04 13:54:28 | 000,001,039 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Dropbox.lnk [2013.04.04 13:45:32 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.04 10:34:31 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2013.03.20 13:29:04 | 000,411,216 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Personalausweis **** Zimmermann.pdf [2013.02.12 18:32:43 | 000,008,109 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel [2012.12.16 20:15:28 | 000,679,750 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-776561741-583907252-1177238915-1003-0.dat [2012.12.12 15:15:23 | 000,196,318 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2012.10.27 16:49:30 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.10.14 11:35:09 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.10.07 16:51:15 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat [2012.10.07 16:51:15 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat [2012.10.07 15:28:39 | 000,118,678 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat [2012.10.07 15:27:20 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2012.10.07 15:27:19 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2012.10.07 15:27:19 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2012.10.07 15:27:18 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2012.10.07 15:27:17 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2012.10.07 15:27:16 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2012.10.07 15:27:12 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2012.10.07 15:27:10 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2012.10.07 14:42:28 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2012.10.07 14:41:13 | 000,188,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.10.07 14:29:26 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2012.10.07 14:23:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat ========== ZeroAccess Check ========== [2012.11.20 21:09:33 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 14:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2013.02.17 19:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Carl Zeiss [2012.12.12 14:46:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Carl Zeiss [2013.04.04 13:55:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox [2013.02.12 16:43:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\OpenCandy [2013.02.12 16:52:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PDF Architect [2013.02.12 16:44:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\pdfforge ========== Purity Check ========== < End of report > OTL Extras: Code:
ATTFilter OTL Extras logfile created on: 04.04.2013 15:21:39 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\****\Desktop\Proggis
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1022,11 Mb Total Physical Memory | 706,91 Mb Available Physical Memory | 69,16% Memory free
2,40 Gb Paging File | 2,05 Gb Available in Paging File | 85,31% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,44 Gb Total Space | 54,51 Gb Free Space | 73,22% Space Free | Partition Type: NTFS
Computer Name: ****-LAPTOP | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe" = C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Cisco Systems\VPN Client\vpnclient.exe" = C:\Programme\Cisco Systems\VPN Client\vpnclient.exe:*:Enabled:vpnclient -- ()
"C:\WINDOWS\system32\hasplms.exe" = C:\WINDOWS\system32\hasplms.exe:*:Enabled:HASP LLM -- (Aladdin Knowledge Systems Ltd.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1CE60928-8325-49A8-8B06-633E48DD2B67}" = Cisco Systems VPN Client 5.0.07.0410
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
"{80A07844-CA64-4DE4-AB61-D37DDBE8074F}" = PDF Architect
"{82CE6B7B-9665-4E29-8CE0-DD993484B38D}" = Intel(R) PROSet/Wireless WiFi-Software
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{93FB47FB-4FDF-4131-B5FD-7A37883868E7}" = hp psc 2170 series
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom Gigabit Integrated Controller
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"ENTERPRISE" = Microsoft Office Enterprise 2007
"HP PSC 2170 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 2170 series
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Mendeley Desktop" = Mendeley Desktop 1.6
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"VLC media player" = VLC media player 2.0.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 30.10.2012 14:27:30 | Computer Name = ****-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 15.11.2012 06:12:51 | Computer Name = ****-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 09.12.2012 11:58:32 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 13.4.0.294, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 04.02.2013 06:21:00 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.5.33, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 04.02.2013 06:21:44 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -946333272.
Error - 15.02.2013 08:14:15 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.02.2013 08:14:38 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.02.2013 08:14:43 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 21.02.2013 10:36:23 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PDF Architect.exe, Version 1.0.52.8917, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 04.04.2013 06:29:38 | Computer Name = ****-LAPTOP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPv6-Hilfsdienst" ist vom Dienst "Microsoft IPv6-Protokolltreiber"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Einfache TCP/IP-Dienste" ist vom Dienst "AFD" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD avipbb avkmgr Fips intelppm IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss ssmdrv Tcpip Tcpip6
Error - 04.04.2013 07:42:09 | Computer Name = ****-LAPTOP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E}
Error - 04.04.2013 07:42:22 | Computer Name = ****-LAPTOP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 04.04.2013 07:44:08 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
< End of report >
Gmer: Code:
ATTFilter GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-04-04 17:19:29
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS541080G9SA00 rev.MB4OC60R 74,53GB
Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\awlyqkoc.sys
---- System - GMER 2.1 ----
SSDT F7D11BB4 ZwClose
SSDT F7D11B6E ZwCreateKey
SSDT F7D11BBE ZwCreateSection
SSDT F7D11B64 ZwCreateThread
SSDT F7D11B73 ZwDeleteKey
SSDT F7D11B7D ZwDeleteValueKey
SSDT F7D11BAF ZwDuplicateObject
SSDT F7D11B82 ZwLoadKey
SSDT F7D11B50 ZwOpenProcess
SSDT F7D11B55 ZwOpenThread
SSDT F7D11BD7 ZwQueryValueKey
SSDT F7D11B8C ZwReplaceKey
SSDT F7D11BC8 ZwRequestWaitReplyPort
SSDT F7D11B87 ZwRestoreKey
SSDT F7D11BC3 ZwSetContextThread
SSDT F7D11BCD ZwSetSecurityObject
SSDT F7D11B78 ZwSetValueKey
SSDT F7D11BD2 ZwSystemDebugControl
SSDT F7D11B5F ZwTerminateProcess
SSDT \WINDOWS\system32\ntkrnlpa.exe ZwOpenKey [0x804D7FF1]
SSDT \WINDOWS\system32\ntkrnlpa.exe[unknown section] [804D7FF1] ZwOpenKey [0x804D7FF1]
INT 0x03 \WINDOWS\system32\ntkrnlpa.exe[unknown section] 804D7FFB
---- Kernel code sections - GMER 2.1 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6C7A360, 0x30A247, 0xE8000020]
.text C:\WINDOWS\system32\drivers\aksfridge.sys section is writeable [0xBA350000, 0x47E35, 0xE0000020]
.init C:\WINDOWS\system32\drivers\aksfridge.sys entry point in ".init" section [0xBA3A4224]
.init C:\WINDOWS\system32\drivers\aksfridge.sys unknown last code section [0xBA3A4000, 0x4000, 0xE20000E0]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xBA167400, 0x6E6E2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA1F1820] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA1F1820]
.protectÿÿÿÿhardlockunknown last code section [0xBA1F1600, 0x512A, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xBA1F1600, 0x512A, 0xE0000020]
---- Devices - GMER 2.1 ----
Device \Driver\Disk \Device\Harddisk0\DR0 aksfridge.sys
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016419f06f2
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016419f06f2 (not active ControlSet)
---- EOF - GMER 2.1 ----
|
|
05.04.2013, 10:50
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo und
__________________ Zitat:
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner? Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten MBAR (Malwarebytes Anti-Rootkit) Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers aswMBR Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). TDSS-Killer Downloade dir bitte  TDSSKiller.exe und speichere diese Datei auf dem Desktop
__________________ |
|
05.04.2013, 12:50
| #3 |
| | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo cosinus,
__________________erst einmal vielen herzlichen Dank für deine Hilfe. Der Rechner gehört mir, als Student habe ich lediglich die Möglichkeit über die Universität kostenlos, oder z.T. vergünstigt Software zu beziehen (natürlich völlig legal). Daher auch die Lizenz für Win XP Prof. Mit den Scans bin ich durch, lediglich TDSS-killer meldet einen Verdacht. Hier die Logfiles: MBAR: Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1022
www.malwarebytes.org
Database version: v2013.04.05.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Corina :: ****-LAPTOP [administrator]
05.04.2013 12:39:02
mbar-log-2013-04-05 (12-39-02).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25061
Time elapsed: 32 minute(s), 46 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)
aswMBR: Code:
ATTFilter aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-05 12:40:59
-----------------------------
12:40:59.640 OS Version: Windows 5.1.2600 Service Pack 3
12:40:59.640 Number of processors: 2 586 0xE08
12:40:59.640 ComputerName: ****-LAPTOP UserName: ****
12:41:02.437 Initialize success
12:50:56.968 AVAST engine defs: 13040500
12:51:15.578 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
12:51:15.578 Disk 0 Vendor: Hitachi_HTS541080G9SA00 MB4OC60R Size: 76319MB BusType: 3
12:51:15.828 Disk 0 MBR read successfully
12:51:15.828 Disk 0 MBR scan
12:51:15.968 Disk 0 Windows XP default MBR code
12:51:15.968 Disk 0 Partition 1 00 DE Dell Utility Dell 8.0 94 MB offset 63
12:51:16.000 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 76222 MB offset 192780
12:51:16.015 Disk 0 scanning sectors +156296385
12:51:16.171 Disk 0 scanning C:\WINDOWS\system32\drivers
12:51:38.453 Service scanning
12:52:32.312 Modules scanning
12:52:59.015 Disk 0 trace - called modules:
12:52:59.031 ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys
12:52:59.062 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8673aab8]
12:52:59.062 3 CLASSPNP.SYS[f7672fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86778940]
12:53:00.843 AVAST engine scan C:\WINDOWS
12:53:07.375 AVAST engine scan C:\WINDOWS\system32
13:04:27.703 AVAST engine scan C:\WINDOWS\system32\drivers
13:04:52.515 AVAST engine scan C:\Dokumente und Einstellungen\****
13:09:38.484 AVAST engine scan C:\Dokumente und Einstellungen\All Users
13:09:49.484 Scan finished successfully
13:26:55.703 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\****\Desktop\MBR.dat"
13:26:55.718 The log file has been saved successfully to "C:\Dokumente und Einstellungen\****\Desktop\aswMBR.txt"
TDSSKiller (hier habe ich zwei, ich vermute das letztere dürfte relevant sein) Nr. 1: Code:
ATTFilter 13:29:43.0953 2512 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
13:29:45.0218 2512 ============================================================
13:29:45.0234 2512 Current date / time: 2013/04/05 13:29:45.0218
13:29:45.0234 2512 SystemInfo:
13:29:45.0234 2512
13:29:45.0234 2512 OS Version: 5.1.2600 ServicePack: 3.0
13:29:45.0234 2512 Product type: Workstation
13:29:45.0234 2512 ComputerName: ****-LAPTOP
13:29:45.0234 2512 UserName: ****
13:29:45.0234 2512 Windows directory: C:\WINDOWS
13:29:45.0234 2512 System windows directory: C:\WINDOWS
13:29:45.0234 2512 Processor architecture: Intel x86
13:29:45.0234 2512 Number of processors: 2
13:29:45.0234 2512 Page size: 0x1000
13:29:45.0234 2512 Boot type: Normal boot
13:29:45.0234 2512 ============================================================
13:29:49.0437 2512 Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:29:49.0437 2512 ============================================================
13:29:49.0437 2512 \Device\Harddisk0\DR0:
13:29:49.0437 2512 MBR partitions:
13:29:49.0437 2512 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x2F10C, BlocksNum 0x94DF3B5
13:29:49.0437 2512 ============================================================
13:29:49.0515 2512 C: <-> \Device\Harddisk0\DR0\Partition1
13:29:49.0515 2512 ============================================================
13:29:49.0515 2512 Initialize success
13:29:49.0515 2512 ============================================================
13:30:07.0328 3184 Deinitialize success
Nr. 2: Code:
ATTFilter 13:30:38.0843 0236 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
13:30:38.0906 0236 ============================================================
13:30:38.0906 0236 Current date / time: 2013/04/05 13:30:38.0906
13:30:38.0906 0236 SystemInfo:
13:30:38.0906 0236
13:30:38.0906 0236 OS Version: 5.1.2600 ServicePack: 3.0
13:30:38.0906 0236 Product type: Workstation
13:30:38.0906 0236 ComputerName: CORINA-LAPTOP
13:30:38.0906 0236 UserName: Corina
13:30:38.0906 0236 Windows directory: C:\WINDOWS
13:30:38.0906 0236 System windows directory: C:\WINDOWS
13:30:38.0906 0236 Processor architecture: Intel x86
13:30:38.0906 0236 Number of processors: 2
13:30:38.0906 0236 Page size: 0x1000
13:30:38.0906 0236 Boot type: Normal boot
13:30:38.0906 0236 ============================================================
13:30:41.0890 0236 Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:30:41.0890 0236 ============================================================
13:30:41.0890 0236 \Device\Harddisk0\DR0:
13:30:41.0890 0236 MBR partitions:
13:30:41.0890 0236 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x2F10C, BlocksNum 0x94DF3B5
13:30:41.0890 0236 ============================================================
13:30:42.0062 0236 C: <-> \Device\Harddisk0\DR0\Partition1
13:30:42.0062 0236 ============================================================
13:30:42.0062 0236 Initialize success
13:30:42.0062 0236 ============================================================
13:30:53.0203 1860 ============================================================
13:30:53.0203 1860 Scan started
13:30:53.0203 1860 Mode: Manual; SigCheck; TDLFS;
13:30:53.0203 1860 ============================================================
13:30:54.0468 1860 ================ Scan system memory ========================
13:30:54.0484 1860 System memory - ok
13:30:54.0484 1860 ================ Scan services =============================
13:30:55.0437 1860 [ D5A6658CBFBBF9A0F8827E83C9FDE806 ] 6to4 C:\WINDOWS\System32\6to4svc.dll
13:31:02.0468 1860 6to4 - ok
13:31:02.0578 1860 Abiosdsk - ok
13:31:02.0578 1860 abp480n5 - ok
13:31:02.0812 1860 [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
13:31:03.0328 1860 ACPI - ok
13:31:03.0750 1860 [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC C:\WINDOWS\system32\drivers\ACPIEC.sys
13:31:04.0046 1860 ACPIEC - ok
13:31:04.0375 1860 [ EA856F4A46320389D1899B2CAA7BF40F ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
13:31:04.0500 1860 AdobeFlashPlayerUpdateSvc - ok
13:31:04.0515 1860 adpu160m - ok
13:31:04.0671 1860 [ 8BED39E3C35D6A489438B8141717A557 ] aec C:\WINDOWS\system32\drivers\aec.sys
13:31:05.0156 1860 aec - ok
13:31:05.0343 1860 [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD C:\WINDOWS\System32\drivers\afd.sys
13:31:05.0484 1860 AFD - ok
13:31:05.0484 1860 Aha154x - ok
13:31:05.0484 1860 aic78u2 - ok
13:31:05.0500 1860 aic78xx - ok
13:31:05.0718 1860 [ 730E9D3BB324FB1899005AEA63C6782D ] aksfridge C:\WINDOWS\system32\drivers\aksfridge.sys
13:31:06.0406 1860 aksfridge - ok
13:31:06.0453 1860 [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter C:\WINDOWS\system32\alrsvc.dll
13:31:06.0656 1860 Alerter - ok
13:31:06.0687 1860 [ 190CD73D4984F94D823F9444980513E5 ] ALG C:\WINDOWS\System32\alg.exe
13:31:06.0796 1860 ALG - ok
13:31:06.0812 1860 AliIde - ok
13:31:06.0812 1860 amsint - ok
13:31:07.0250 1860 [ D9A92E6DD41C5ADC045AE485026AA40C ] AntiVirSchedulerService C:\Programme\Avira\AntiVir Desktop\sched.exe
13:31:07.0375 1860 AntiVirSchedulerService - ok
13:31:07.0453 1860 [ 66A7A38F7C439153B758548375EB9E5E ] AntiVirService C:\Programme\Avira\AntiVir Desktop\avguard.exe
13:31:07.0562 1860 AntiVirService - ok
13:31:07.0578 1860 ApfiltrService - ok
13:31:07.0734 1860 [ D45960BE52C3C610D361977057F98C54 ] AppMgmt C:\WINDOWS\System32\appmgmts.dll
13:31:08.0109 1860 AppMgmt - ok
13:31:08.0156 1860 [ B5B8A80875C1DEDEDA8B02765642C32F ] Arp1394 C:\WINDOWS\system32\DRIVERS\arp1394.sys
13:31:08.0562 1860 Arp1394 - ok
13:31:08.0562 1860 asc - ok
13:31:08.0578 1860 asc3350p - ok
13:31:08.0578 1860 asc3550 - ok
13:31:09.0078 1860 [ 776ACEFA0CA9DF0FAA51A5FB2F435705 ] aspnet_state C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
13:31:09.0296 1860 aspnet_state - ok
13:31:09.0406 1860 [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac C:\WINDOWS\system32\DRIVERS\asyncmac.sys
13:31:09.0875 1860 AsyncMac - ok
13:31:10.0062 1860 [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi C:\WINDOWS\system32\DRIVERS\atapi.sys
13:31:10.0359 1860 atapi - ok
13:31:10.0359 1860 Atdisk - ok
13:31:10.0468 1860 [ 9916C1225104BA14794209CFA8012159 ] Atmarpc C:\WINDOWS\system32\DRIVERS\atmarpc.sys
13:31:10.0687 1860 Atmarpc - ok
13:31:10.0796 1860 [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv C:\WINDOWS\System32\audiosrv.dll
13:31:11.0093 1860 AudioSrv - ok
13:31:11.0187 1860 [ D9F724AA26C010A217C97606B160ED68 ] audstub C:\WINDOWS\system32\DRIVERS\audstub.sys
13:31:11.0625 1860 audstub - ok
13:31:11.0718 1860 [ 87425709A251386064C99B684BF96F72 ] avgntflt C:\WINDOWS\system32\DRIVERS\avgntflt.sys
13:31:20.0687 1860 avgntflt - ok
13:31:20.0796 1860 [ D50FBA68163BC498F2C136E0E5BA8E2F ] avipbb C:\WINDOWS\system32\DRIVERS\avipbb.sys
13:31:20.0890 1860 avipbb - ok
13:31:20.0937 1860 [ CB8741CD7B126499FED40C9B197F6AC5 ] avkmgr C:\WINDOWS\system32\DRIVERS\avkmgr.sys
13:31:21.0015 1860 avkmgr - ok
13:31:21.0250 1860 [ C0ACD392ECE55784884CC208AAFA06CE ] b57w2k C:\WINDOWS\system32\DRIVERS\b57xp32.sys
13:31:21.0406 1860 b57w2k - ok
13:31:21.0437 1860 [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep C:\WINDOWS\system32\drivers\Beep.sys
13:31:21.0609 1860 Beep - ok
13:31:21.0859 1860 [ D6F603772A789BB3228F310D650B8BD1 ] BITS C:\WINDOWS\system32\qmgr.dll
13:31:22.0531 1860 BITS - ok
13:31:22.0625 1860 [ B71549F23736ADF83A571061C47777FD ] Browser C:\WINDOWS\System32\browser.dll
13:31:22.0937 1860 Browser - ok
13:31:23.0000 1860 [ B279426E3C0C344893ED78A613A73BDE ] BthEnum C:\WINDOWS\system32\DRIVERS\BthEnum.sys
13:31:23.0328 1860 BthEnum - ok
13:31:23.0375 1860 [ 80602B8746D3738F5886CE3D67EF06B6 ] BthPan C:\WINDOWS\system32\DRIVERS\bthpan.sys
13:31:23.0578 1860 BthPan - ok
13:31:23.0750 1860 [ 592E1CEDBE314D0EF184DC6F46141E76 ] BTHPORT C:\WINDOWS\system32\Drivers\BTHport.sys
13:31:23.0968 1860 BTHPORT - ok
13:31:24.0046 1860 [ 26C601EF7525E31379744ABFC6F35A1B ] BthServ C:\WINDOWS\System32\bthserv.dll
13:31:24.0375 1860 BthServ - ok
13:31:24.0390 1860 [ 61364CD71EF63B0F038B7E9DF00F1EFA ] BTHUSB C:\WINDOWS\system32\Drivers\BTHUSB.sys
13:31:24.0578 1860 BTHUSB - ok
13:31:24.0625 1860 [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k C:\WINDOWS\system32\drivers\cbidf2k.sys
13:31:24.0765 1860 cbidf2k - ok
13:31:24.0781 1860 cd20xrnt - ok
13:31:24.0812 1860 [ C1B486A7658353D33A10CC15211A873B ] Cdaudio C:\WINDOWS\system32\drivers\Cdaudio.sys
13:31:24.0984 1860 Cdaudio - ok
13:31:25.0046 1860 [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs C:\WINDOWS\system32\drivers\Cdfs.sys
13:31:25.0390 1860 Cdfs - ok
13:31:25.0468 1860 [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom C:\WINDOWS\system32\DRIVERS\cdrom.sys
13:31:25.0750 1860 Cdrom - ok
13:31:25.0750 1860 Changer - ok
13:31:25.0781 1860 [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc C:\WINDOWS\system32\cisvc.exe
13:31:25.0953 1860 CiSvc - ok
13:31:26.0000 1860 [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv C:\WINDOWS\system32\clipsrv.exe
13:31:26.0265 1860 ClipSrv - ok
13:31:26.0375 1860 [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
13:31:26.0453 1860 clr_optimization_v2.0.50727_32 - ok
13:31:26.0562 1860 [ C5A75EB48E2344ABDC162BDA79E16841 ] clr_optimization_v4.0.30319_32 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
13:31:26.0703 1860 clr_optimization_v4.0.30319_32 - ok
13:31:26.0765 1860 [ 0F6C187D38D98F8DF904589A5F94D411 ] CmBatt C:\WINDOWS\system32\DRIVERS\CmBatt.sys
13:31:27.0046 1860 CmBatt - ok
13:31:27.0046 1860 CmdIde - ok
13:31:27.0093 1860 [ 6E4C9F21F0FAE8940661144F41B13203 ] Compbatt C:\WINDOWS\system32\DRIVERS\compbatt.sys
13:31:27.0312 1860 Compbatt - ok
13:31:27.0312 1860 COMSysApp - ok
13:31:27.0328 1860 Cpqarray - ok
13:31:27.0406 1860 [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc C:\WINDOWS\System32\cryptsvc.dll
13:31:27.0593 1860 CryptSvc - ok
13:31:27.0703 1860 [ B5ECADF7708960F1818C7FA015F4C239 ] CVirtA C:\WINDOWS\system32\DRIVERS\CVirtA.sys
13:31:27.0796 1860 CVirtA - ok
13:31:28.0718 1860 [ 30443EEF52F5FB043654859EAA8E5247 ] CVPND C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
13:31:30.0281 1860 CVPND - ok
13:31:30.0453 1860 [ CB90B2762B1A1D0B40496400C55B6ADE ] CVPNDRVA C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
13:31:30.0703 1860 CVPNDRVA ( UnsignedFile.Multi.Generic ) - warning
13:31:30.0703 1860 CVPNDRVA - detected UnsignedFile.Multi.Generic (1)
13:31:30.0750 1860 CZCanSrv - ok
13:31:30.0750 1860 dac2w2k - ok
13:31:30.0750 1860 dac960nt - ok
13:31:30.0984 1860 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch C:\WINDOWS\system32\rpcss.dll
13:31:31.0234 1860 DcomLaunch - ok
13:31:31.0359 1860 [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp C:\WINDOWS\System32\dhcpcsvc.dll
13:31:31.0625 1860 Dhcp - ok
13:31:31.0687 1860 [ 044452051F3E02E7963599FC8F4F3E25 ] Disk C:\WINDOWS\system32\DRIVERS\disk.sys
13:31:31.0859 1860 Disk - ok
13:31:31.0875 1860 dmadmin - ok
13:31:32.0328 1860 [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot C:\WINDOWS\system32\drivers\dmboot.sys
13:31:33.0218 1860 dmboot - ok
13:31:33.0296 1860 [ 53720AB12B48719D00E327DA470A619A ] dmio C:\WINDOWS\system32\drivers\dmio.sys
13:31:33.0500 1860 dmio - ok
13:31:33.0546 1860 [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload C:\WINDOWS\system32\drivers\dmload.sys
13:31:33.0734 1860 dmload - ok
13:31:33.0796 1860 [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver C:\WINDOWS\System32\dmserver.dll
13:31:34.0000 1860 dmserver - ok
13:31:34.0125 1860 [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic C:\WINDOWS\system32\drivers\DMusic.sys
13:31:34.0343 1860 DMusic - ok
13:31:34.0453 1860 [ B5AA5AA5AC327BD7C1AEC0C58F0C1144 ] DNE C:\WINDOWS\system32\DRIVERS\dne2000.sys
13:31:34.0546 1860 DNE - ok
13:31:34.0609 1860 [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache C:\WINDOWS\System32\dnsrslvr.dll
13:31:34.0718 1860 Dnscache - ok
13:31:34.0828 1860 [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc C:\WINDOWS\System32\dot3svc.dll
13:31:35.0078 1860 Dot3svc - ok
13:31:35.0078 1860 dpti2o - ok
13:31:35.0093 1860 [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud C:\WINDOWS\system32\drivers\drmkaud.sys
13:31:35.0375 1860 drmkaud - ok
13:31:35.0406 1860 [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost C:\WINDOWS\System32\eapsvc.dll
13:31:35.0593 1860 EapHost - ok
13:31:35.0609 1860 [ 877C18558D70587AA7823A1A308AC96B ] ERSvc C:\WINDOWS\System32\ersvc.dll
13:31:35.0828 1860 ERSvc - ok
13:31:35.0937 1860 [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog C:\WINDOWS\system32\services.exe
13:31:36.0062 1860 Eventlog - ok
13:31:36.0250 1860 [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem C:\WINDOWS\system32\es.dll
13:31:36.0468 1860 EventSystem - ok
13:31:36.0609 1860 [ 38D332A6D56AF32635675F132548343E ] Fastfat C:\WINDOWS\system32\drivers\Fastfat.sys
13:31:36.0843 1860 Fastfat - ok
13:31:36.0937 1860 [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
13:31:37.0093 1860 FastUserSwitchingCompatibility - ok
13:31:37.0109 1860 [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc C:\WINDOWS\system32\drivers\Fdc.sys
13:31:37.0265 1860 Fdc - ok
13:31:37.0312 1860 [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips C:\WINDOWS\system32\drivers\Fips.sys
13:31:37.0546 1860 Fips - ok
13:31:37.0562 1860 [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk C:\WINDOWS\system32\drivers\Flpydisk.sys
13:31:37.0718 1860 Flpydisk - ok
13:31:37.0828 1860 [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr C:\WINDOWS\system32\DRIVERS\fltMgr.sys
13:31:38.0031 1860 FltMgr - ok
13:31:38.0140 1860 [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
13:31:38.0406 1860 FontCache3.0.0.0 - ok
13:31:38.0453 1860 [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec C:\WINDOWS\system32\drivers\Fs_Rec.sys
13:31:38.0765 1860 Fs_Rec - ok
13:31:38.0875 1860 [ 8F1955CE42E1484714B542F341647778 ] Ftdisk C:\WINDOWS\system32\DRIVERS\ftdisk.sys
13:31:39.0312 1860 Ftdisk - ok
13:31:39.0359 1860 [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc C:\WINDOWS\system32\DRIVERS\msgpc.sys
13:31:39.0921 1860 Gpc - ok
13:31:40.0078 1860 guardian2 - ok
13:31:40.0500 1860 [ A9D587E31DBEE3E9BD97FEFECE0BA874 ] hardlock C:\WINDOWS\system32\drivers\hardlock.sys
13:31:41.0531 1860 hardlock - ok
13:31:41.0546 1860 hasplms - ok
13:31:41.0734 1860 [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
13:31:42.0546 1860 HDAudBus - ok
13:31:42.0750 1860 [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
13:31:43.0093 1860 helpsvc - ok
13:31:43.0109 1860 HidServ - ok
13:31:43.0218 1860 [ CCF82C5EC8A7326C3066DE870C06DAF1 ] HidUsb C:\WINDOWS\system32\DRIVERS\hidusb.sys
13:31:43.0515 1860 HidUsb - ok
13:31:43.0640 1860 [ ED29F14101523A6E0E808107405D452C ] hkmsvc C:\WINDOWS\System32\kmsvc.dll
13:31:43.0984 1860 hkmsvc - ok
13:31:43.0984 1860 hpn - ok
13:31:44.0046 1860 [ 863CC3A82C63C9F60ACF2E85D5310620 ] HPZid412 C:\WINDOWS\system32\DRIVERS\HPZid412.sys
13:31:44.0265 1860 HPZid412 - ok
13:31:44.0296 1860 [ 08CB72E95DD75B61F2966B311D0E4366 ] HPZipr12 C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
13:31:44.0390 1860 HPZipr12 - ok
13:31:44.0421 1860 [ CA990306ED4EF732AF9695BFF24FC96F ] HPZius12 C:\WINDOWS\system32\DRIVERS\HPZius12.sys
13:31:44.0546 1860 HPZius12 - ok
13:31:44.0734 1860 [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP C:\WINDOWS\system32\Drivers\HTTP.sys
13:31:45.0000 1860 HTTP - ok
13:31:45.0046 1860 [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter C:\WINDOWS\System32\w3ssl.dll
13:31:45.0296 1860 HTTPFilter - ok
13:31:45.0296 1860 i2omgmt - ok
13:31:45.0296 1860 i2omp - ok
13:31:45.0375 1860 [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt C:\WINDOWS\system32\DRIVERS\i8042prt.sys
13:31:45.0578 1860 i8042prt - ok
13:31:46.0171 1860 [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
13:31:47.0093 1860 idsvc - ok
13:31:47.0125 1860 [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi C:\WINDOWS\system32\DRIVERS\imapi.sys
13:31:47.0312 1860 Imapi - ok
13:31:47.0437 1860 [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService C:\WINDOWS\system32\imapi.exe
13:31:47.0703 1860 ImapiService - ok
13:31:47.0718 1860 ini910u - ok
13:31:47.0718 1860 IntelIde - ok
13:31:47.0781 1860 [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm C:\WINDOWS\system32\DRIVERS\intelppm.sys
13:31:48.0015 1860 intelppm - ok
13:31:48.0046 1860 [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
13:31:48.0218 1860 Ip6Fw - ok
13:31:48.0281 1860 [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
13:31:48.0500 1860 IpFilterDriver - ok
13:31:48.0515 1860 [ B87AB476DCF76E72010632B5550955F5 ] IpInIp C:\WINDOWS\system32\DRIVERS\ipinip.sys
13:31:48.0718 1860 IpInIp - ok
13:31:48.0828 1860 [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat C:\WINDOWS\system32\DRIVERS\ipnat.sys
13:31:49.0109 1860 IpNat - ok
13:31:49.0203 1860 [ 23C74D75E36E7158768DD63D92789A91 ] IPSec C:\WINDOWS\system32\DRIVERS\ipsec.sys
13:31:49.0390 1860 IPSec - ok
13:31:49.0437 1860 [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM C:\WINDOWS\system32\DRIVERS\irenum.sys
13:31:49.0531 1860 IRENUM - ok
13:31:49.0609 1860 [ 6DFB88F64135C525433E87648BDA30DE ] isapnp C:\WINDOWS\system32\DRIVERS\isapnp.sys
13:31:49.0812 1860 isapnp - ok
13:31:49.0875 1860 [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass C:\WINDOWS\system32\DRIVERS\kbdclass.sys
13:31:50.0125 1860 Kbdclass - ok
13:31:50.0218 1860 [ 692BCF44383D056AED41B045A323D378 ] kmixer C:\WINDOWS\system32\drivers\kmixer.sys
13:31:50.0406 1860 kmixer - ok
13:31:50.0468 1860 [ B467646C54CC746128904E1654C750C1 ] KSecDD C:\WINDOWS\system32\drivers\KSecDD.sys
13:31:50.0640 1860 KSecDD - ok
13:31:50.0750 1860 [ 2BBDCB79900990F0716DFCB714E72DE7 ] LanmanServer C:\WINDOWS\System32\srvsvc.dll
13:31:50.0890 1860 LanmanServer - ok
13:31:51.0062 1860 [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
13:31:51.0171 1860 lanmanworkstation - ok
13:31:51.0187 1860 lbrtfdc - ok
13:31:51.0234 1860 [ 636714B7D43C8D0C80449123FD266920 ] LmHosts C:\WINDOWS\System32\lmhsvc.dll
13:31:51.0468 1860 LmHosts - ok
13:31:51.0515 1860 [ 4A5FFDF0FE830C448830BD4B02B02B4B ] mbamchameleon C:\WINDOWS\system32\drivers\mbamchameleon.sys
13:31:51.0562 1860 mbamchameleon - ok
13:31:51.0593 1860 [ B7550A7107281D170CE85524B1488C98 ] Messenger C:\WINDOWS\System32\msgsvc.dll
13:31:51.0765 1860 Messenger - ok
13:31:51.0828 1860 [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd C:\WINDOWS\system32\drivers\mnmdd.sys
13:31:52.0015 1860 mnmdd - ok
13:31:52.0078 1860 [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc C:\WINDOWS\system32\mnmsrvc.exe
13:31:52.0218 1860 mnmsrvc - ok
13:31:52.0265 1860 [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem C:\WINDOWS\system32\drivers\Modem.sys
13:31:52.0468 1860 Modem - ok
13:31:52.0531 1860 [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass C:\WINDOWS\system32\DRIVERS\mouclass.sys
13:31:52.0734 1860 Mouclass - ok
13:31:52.0781 1860 [ 66A6F73C74E1791464160A7065CE711A ] mouhid C:\WINDOWS\system32\DRIVERS\mouhid.sys
13:31:52.0937 1860 mouhid - ok
13:31:53.0000 1860 [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr C:\WINDOWS\system32\drivers\MountMgr.sys
13:31:53.0234 1860 MountMgr - ok
13:31:53.0359 1860 [ 8A7C8F4C713E70D73946833D76B77035 ] MozillaMaintenance C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
13:31:53.0453 1860 MozillaMaintenance - ok
13:31:53.0453 1860 mraid35x - ok
13:31:53.0546 1860 [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV C:\WINDOWS\system32\DRIVERS\mrxdav.sys
13:31:53.0859 1860 MRxDAV - ok
13:31:54.0125 1860 [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
13:31:54.0562 1860 MRxSmb - ok
13:31:54.0625 1860 [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC C:\WINDOWS\system32\msdtc.exe
13:31:54.0890 1860 MSDTC - ok
13:31:54.0937 1860 [ C941EA2454BA8350021D774DAF0F1027 ] Msfs C:\WINDOWS\system32\drivers\Msfs.sys
13:31:55.0109 1860 Msfs - ok
13:31:55.0109 1860 MSIServer - ok
13:31:55.0156 1860 [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV C:\WINDOWS\system32\drivers\MSKSSRV.sys
13:31:55.0328 1860 MSKSSRV - ok
13:31:55.0359 1860 [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK C:\WINDOWS\system32\drivers\MSPCLOCK.sys
13:31:55.0515 1860 MSPCLOCK - ok
13:31:55.0546 1860 [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM C:\WINDOWS\system32\drivers\MSPQM.sys
13:31:55.0750 1860 MSPQM - ok
13:31:55.0812 1860 [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios C:\WINDOWS\system32\DRIVERS\mssmbios.sys
13:31:56.0015 1860 mssmbios - ok
13:31:56.0140 1860 MTBService_2.0.0.13 - ok
13:31:56.0250 1860 [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup C:\WINDOWS\system32\drivers\Mup.sys
13:31:56.0375 1860 Mup - ok
13:31:56.0562 1860 [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent C:\WINDOWS\System32\qagentrt.dll
13:31:56.0953 1860 napagent - ok
13:31:57.0062 1860 [ 1DF7F42665C94B825322FAE71721130D ] NDIS C:\WINDOWS\system32\drivers\NDIS.sys
13:31:57.0312 1860 NDIS - ok
13:31:57.0359 1860 [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi C:\WINDOWS\system32\DRIVERS\ndistapi.sys
13:31:57.0453 1860 NdisTapi - ok
13:31:57.0500 1860 [ F927A4434C5028758A842943EF1A3849 ] Ndisuio C:\WINDOWS\system32\DRIVERS\ndisuio.sys
13:31:57.0765 1860 Ndisuio - ok
13:31:57.0828 1860 [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan C:\WINDOWS\system32\DRIVERS\ndiswan.sys
13:31:58.0046 1860 NdisWan - ok
13:31:58.0109 1860 [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy C:\WINDOWS\system32\drivers\NDProxy.sys
13:31:58.0234 1860 NDProxy - ok
13:31:58.0265 1860 [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS C:\WINDOWS\system32\DRIVERS\netbios.sys
13:31:58.0500 1860 NetBIOS - ok
13:31:58.0609 1860 [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT C:\WINDOWS\system32\DRIVERS\netbt.sys
13:31:58.0859 1860 NetBT - ok
13:31:58.0953 1860 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE C:\WINDOWS\system32\netdde.exe
13:31:59.0125 1860 NetDDE - ok
13:31:59.0187 1860 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm C:\WINDOWS\system32\netdde.exe
13:31:59.0296 1860 NetDDEdsdm - ok
13:31:59.0328 1860 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon C:\WINDOWS\system32\lsass.exe
13:31:59.0515 1860 Netlogon - ok
13:31:59.0671 1860 [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman C:\WINDOWS\System32\netman.dll
13:31:59.0812 1860 Netman - ok
13:31:59.0953 1860 [ D22CD77D4F0D63D1169BB35911BFF12D ] NetTcpPortSharing c:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
13:32:00.0078 1860 NetTcpPortSharing - ok
13:32:02.0250 1860 [ 91F027C242D3FF6E5C09F92A0518297F ] NETw5x32 C:\WINDOWS\system32\DRIVERS\NETw5x32.sys
13:32:06.0546 1860 NETw5x32 - ok
13:32:06.0625 1860 [ E9E47CFB2D461FA0FC75B7A74C6383EA ] NIC1394 C:\WINDOWS\system32\DRIVERS\nic1394.sys
13:32:06.0828 1860 NIC1394 - ok
13:32:06.0984 1860 [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla C:\WINDOWS\System32\mswsock.dll
13:32:07.0078 1860 Nla - ok
13:32:07.0109 1860 [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs C:\WINDOWS\system32\drivers\Npfs.sys
13:32:07.0281 1860 Npfs - ok
13:32:07.0578 1860 [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs C:\WINDOWS\system32\drivers\Ntfs.sys
13:32:08.0203 1860 Ntfs - ok
13:32:08.0218 1860 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp C:\WINDOWS\system32\lsass.exe
13:32:08.0328 1860 NtLmSsp - ok
13:32:08.0593 1860 [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc C:\WINDOWS\system32\ntmssvc.dll
13:32:09.0078 1860 NtmsSvc - ok
13:32:09.0109 1860 [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null C:\WINDOWS\system32\drivers\Null.sys
13:32:09.0281 1860 Null - ok
13:32:12.0828 1860 [ 77F427E51479C66C09F967D15B639B37 ] nv C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
13:32:19.0875 1860 nv - ok
13:32:20.0000 1860 [ 143F50273CFB6D970F06A1C2D7FBBF78 ] NVSvc C:\WINDOWS\system32\nvsvc32.exe
13:32:20.0203 1860 NVSvc - ok
13:32:20.0265 1860 [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
13:32:20.0500 1860 NwlnkFlt - ok
13:32:20.0531 1860 [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
13:32:20.0718 1860 NwlnkFwd - ok
13:32:21.0171 1860 [ 785F487A64950F3CB8E9F16253BA3B7B ] odserv C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
13:32:21.0640 1860 odserv - ok
13:32:21.0718 1860 [ CA33832DF41AFB202EE7AEB05145922F ] ohci1394 C:\WINDOWS\system32\DRIVERS\ohci1394.sys
13:32:21.0906 1860 ohci1394 - ok
13:32:22.0031 1860 [ 5A432A042DAE460ABE7199B758E8606C ] ose C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
13:32:22.0171 1860 ose - ok
13:32:22.0234 1860 [ F84785660305B9B903FB3BCA8BA29837 ] Parport C:\WINDOWS\system32\DRIVERS\parport.sys
13:32:22.0437 1860 Parport - ok
13:32:22.0453 1860 [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr C:\WINDOWS\system32\drivers\PartMgr.sys
13:32:22.0656 1860 PartMgr - ok
13:32:22.0703 1860 [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm C:\WINDOWS\system32\drivers\ParVdm.sys
13:32:22.0875 1860 ParVdm - ok
13:32:22.0937 1860 [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI C:\WINDOWS\system32\DRIVERS\pci.sys
13:32:23.0140 1860 PCI - ok
13:32:23.0140 1860 PCIDump - ok
13:32:23.0156 1860 [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde C:\WINDOWS\system32\DRIVERS\pciide.sys
13:32:23.0312 1860 PCIIde - ok
13:32:23.0421 1860 [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia C:\WINDOWS\system32\DRIVERS\pcmcia.sys
13:32:23.0656 1860 Pcmcia - ok
13:32:23.0656 1860 PDCOMP - ok
13:32:24.0437 1860 [ A1688A4FB2EC49D040C027EF6DC7A87B ] PDF Architect Helper Service C:\Programme\PDF Architect\HelperService.exe
13:32:25.0687 1860 PDF Architect Helper Service - ok
13:32:26.0125 1860 [ E23FF9B2F8EEAB2BDDA681C21C48E843 ] PDF Architect Service C:\Programme\PDF Architect\ConversionService.exe
13:32:26.0875 1860 PDF Architect Service - ok
13:32:26.0875 1860 PDFRAME - ok
13:32:26.0875 1860 PDRELI - ok
13:32:26.0890 1860 PDRFRAME - ok
13:32:26.0890 1860 perc2 - ok
13:32:26.0890 1860 perc2hib - ok
13:32:26.0984 1860 [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay C:\WINDOWS\system32\services.exe
13:32:27.0031 1860 PlugPlay - ok
13:32:27.0109 1860 [ FB03F341FF5380394BF2EE52F1979925 ] Pml Driver HPZ12 C:\WINDOWS\system32\HPZipm12.exe
13:32:27.0281 1860 Pml Driver HPZ12 - ok
13:32:27.0296 1860 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent C:\WINDOWS\system32\lsass.exe
13:32:27.0453 1860 PolicyAgent - ok
13:32:27.0500 1860 [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport C:\WINDOWS\system32\DRIVERS\raspptp.sys
13:32:27.0703 1860 PptpMiniport - ok
13:32:27.0718 1860 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
13:32:27.0828 1860 ProtectedStorage - ok
13:32:27.0875 1860 [ 09298EC810B07E5D582CB3A3F9255424 ] PSched C:\WINDOWS\system32\DRIVERS\psched.sys
13:32:28.0062 1860 PSched - ok
13:32:28.0078 1860 [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink C:\WINDOWS\system32\DRIVERS\ptilink.sys
13:32:28.0234 1860 Ptilink - ok
13:32:28.0250 1860 ql1080 - ok
13:32:28.0250 1860 Ql10wnt - ok
13:32:28.0250 1860 ql12160 - ok
13:32:28.0250 1860 ql1240 - ok
13:32:28.0265 1860 ql1280 - ok
13:32:28.0281 1860 [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd C:\WINDOWS\system32\DRIVERS\rasacd.sys
13:32:28.0453 1860 RasAcd - ok
13:32:28.0531 1860 [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto C:\WINDOWS\System32\rasauto.dll
13:32:28.0703 1860 RasAuto - ok
13:32:28.0750 1860 [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
13:32:28.0968 1860 Rasl2tp - ok
13:32:29.0078 1860 [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan C:\WINDOWS\System32\rasmans.dll
13:32:29.0359 1860 RasMan - ok
13:32:29.0375 1860 [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe C:\WINDOWS\system32\DRIVERS\raspppoe.sys
13:32:29.0562 1860 RasPppoe - ok
13:32:29.0593 1860 [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti C:\WINDOWS\system32\DRIVERS\raspti.sys
13:32:29.0765 1860 Raspti - ok
13:32:29.0859 1860 [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss C:\WINDOWS\system32\DRIVERS\rdbss.sys
13:32:30.0109 1860 Rdbss - ok
13:32:30.0140 1860 [ 4912D5B403614CE99C28420F75353332 ] RDPCDD C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
13:32:30.0281 1860 RDPCDD - ok
13:32:30.0406 1860 [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr C:\WINDOWS\system32\DRIVERS\rdpdr.sys
13:32:30.0671 1860 rdpdr - ok
13:32:30.0781 1860 [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD C:\WINDOWS\system32\drivers\RDPWD.sys
13:32:30.0968 1860 RDPWD - ok
13:32:31.0046 1860 [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr C:\WINDOWS\system32\sessmgr.exe
13:32:31.0296 1860 RDSessMgr - ok
13:32:31.0328 1860 [ ED761D453856F795A7FE056E42C36365 ] redbook C:\WINDOWS\system32\DRIVERS\redbook.sys
13:32:31.0546 1860 redbook - ok
13:32:31.0609 1860 [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess C:\WINDOWS\System32\mprdim.dll
13:32:31.0765 1860 RemoteAccess - ok
13:32:31.0812 1860 [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry C:\WINDOWS\system32\regsvc.dll
13:32:32.0000 1860 RemoteRegistry - ok
13:32:32.0046 1860 [ 851C30DF2807FCFA21E4C681A7D6440E ] RFCOMM C:\WINDOWS\system32\DRIVERS\rfcomm.sys
13:32:32.0234 1860 RFCOMM - ok
13:32:32.0296 1860 [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator C:\WINDOWS\system32\locator.exe
13:32:32.0500 1860 RpcLocator - ok
13:32:32.0703 1860 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs C:\WINDOWS\system32\rpcss.dll
13:32:32.0875 1860 RpcSs - ok
13:32:32.0984 1860 [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP C:\WINDOWS\system32\rsvp.exe
13:32:33.0187 1860 RSVP - ok
13:32:33.0218 1860 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs C:\WINDOWS\system32\lsass.exe
13:32:33.0328 1860 SamSs - ok
13:32:33.0421 1860 [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr C:\WINDOWS\System32\SCardSvr.exe
13:32:33.0609 1860 SCardSvr - ok
13:32:33.0765 1860 [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule C:\WINDOWS\system32\schedsvc.dll
13:32:34.0031 1860 Schedule - ok
13:32:34.0078 1860 [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv C:\WINDOWS\system32\DRIVERS\secdrv.sys
13:32:34.0171 1860 Secdrv - ok
13:32:34.0218 1860 [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon C:\WINDOWS\System32\seclogon.dll
13:32:34.0390 1860 seclogon - ok
13:32:34.0406 1860 [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS C:\WINDOWS\system32\sens.dll
13:32:34.0609 1860 SENS - ok
13:32:34.0640 1860 [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum C:\WINDOWS\system32\DRIVERS\serenum.sys
13:32:34.0796 1860 serenum - ok
13:32:34.0828 1860 [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial C:\WINDOWS\system32\DRIVERS\serial.sys
13:32:35.0031 1860 Serial - ok
13:32:35.0046 1860 [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy C:\WINDOWS\system32\drivers\Sfloppy.sys
13:32:35.0250 1860 Sfloppy - ok
13:32:35.0437 1860 [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess C:\WINDOWS\System32\ipnathlp.dll
13:32:35.0859 1860 SharedAccess - ok
13:32:35.0953 1860 [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
13:32:35.0984 1860 ShellHWDetection - ok
13:32:35.0984 1860 Simbad - ok
13:32:36.0046 1860 [ 7A1A532F14FDE28489DC349C6E404A67 ] SimpTcp C:\WINDOWS\system32\tcpsvcs.exe
13:32:36.0218 1860 SimpTcp - ok
13:32:36.0234 1860 Sparrow - ok
13:32:36.0281 1860 [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter C:\WINDOWS\system32\drivers\splitter.sys
13:32:36.0437 1860 splitter - ok
13:32:36.0500 1860 [ 60784F891563FB1B767F70117FC2428F ] Spooler C:\WINDOWS\system32\spoolsv.exe
13:32:36.0625 1860 Spooler - ok
13:32:36.0718 1860 [ 50FA898F8C032796D3B1B9951BB5A90F ] sr C:\WINDOWS\system32\DRIVERS\sr.sys
13:32:36.0843 1860 sr - ok
13:32:36.0953 1860 [ FE77A85495065F3AD59C5C65B6C54182 ] srservice C:\WINDOWS\system32\srsvc.dll
13:32:37.0140 1860 srservice - ok
13:32:37.0375 1860 [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv C:\WINDOWS\system32\DRIVERS\srv.sys
13:32:37.0734 1860 Srv - ok
13:32:37.0812 1860 [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV C:\WINDOWS\System32\ssdpsrv.dll
13:32:37.0937 1860 SSDPSRV - ok
13:32:38.0000 1860 [ A36EE93698802CD899F98BFD553D8185 ] ssmdrv C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
13:32:38.0078 1860 ssmdrv - ok
13:32:38.0734 1860 [ 951801DFB54D86F611F0AF47825476F9 ] STHDA C:\WINDOWS\system32\drivers\sthda.sys
13:32:39.0968 1860 STHDA - ok
13:32:40.0203 1860 [ BC2C5985611C5356B24AEB370953DED9 ] stisvc C:\WINDOWS\system32\wiaservc.dll
13:32:40.0656 1860 stisvc - ok
13:32:40.0671 1860 [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum C:\WINDOWS\system32\DRIVERS\swenum.sys
13:32:40.0843 1860 swenum - ok
13:32:40.0890 1860 [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi C:\WINDOWS\system32\drivers\swmidi.sys
13:32:41.0093 1860 swmidi - ok
13:32:41.0093 1860 SwPrv - ok
13:32:41.0093 1860 symc810 - ok
13:32:41.0109 1860 symc8xx - ok
13:32:41.0109 1860 sym_hi - ok
13:32:41.0109 1860 sym_u3 - ok
13:32:41.0156 1860 [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio C:\WINDOWS\system32\drivers\sysaudio.sys
13:32:41.0390 1860 sysaudio - ok
13:32:41.0468 1860 [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog C:\WINDOWS\system32\smlogsvc.exe
13:32:41.0687 1860 SysmonLog - ok
13:32:41.0828 1860 [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv C:\WINDOWS\System32\tapisrv.dll
13:32:42.0171 1860 TapiSrv - ok
13:32:42.0359 1860 [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip C:\WINDOWS\system32\DRIVERS\tcpip.sys
13:32:42.0718 1860 Tcpip - ok
13:32:42.0859 1860 [ 4E53BBCC4BE37D7A4BD6EF1098C89FF7 ] Tcpip6 C:\WINDOWS\system32\DRIVERS\tcpip6.sys
13:32:43.0046 1860 Tcpip6 - ok
13:32:43.0078 1860 [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE C:\WINDOWS\system32\drivers\TDPIPE.sys
13:32:43.0250 1860 TDPIPE - ok
13:32:43.0296 1860 [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP C:\WINDOWS\system32\drivers\TDTCP.sys
13:32:43.0546 1860 TDTCP - ok
13:32:43.0578 1860 [ 88155247177638048422893737429D9E ] TermDD C:\WINDOWS\system32\DRIVERS\termdd.sys
13:32:43.0765 1860 TermDD - ok
13:32:43.0937 1860 [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService C:\WINDOWS\System32\termsrv.dll
13:32:44.0296 1860 TermService - ok
13:32:44.0375 1860 [ 2DB7D303C36DDD055215052F118E8E75 ] Themes C:\WINDOWS\System32\shsvcs.dll
13:32:44.0406 1860 Themes - ok
13:32:44.0484 1860 [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr C:\WINDOWS\system32\tlntsvr.exe
13:32:44.0656 1860 TlntSvr - ok
13:32:44.0656 1860 TosIde - ok
13:32:44.0718 1860 [ 626504572B175867F30F3215C04B3E2F ] TrkWks C:\WINDOWS\system32\trkwks.dll
13:32:44.0890 1860 TrkWks - ok
13:32:44.0921 1860 [ 8F861EDA21C05857EB8197300A92501C ] tunmp C:\WINDOWS\system32\DRIVERS\tunmp.sys
13:32:45.0093 1860 tunmp - ok
13:32:45.0140 1860 [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs C:\WINDOWS\system32\drivers\Udfs.sys
13:32:45.0375 1860 Udfs - ok
13:32:45.0375 1860 ultra - ok
13:32:45.0593 1860 [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update C:\WINDOWS\system32\DRIVERS\update.sys
13:32:46.0078 1860 Update - ok
13:32:46.0203 1860 [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost C:\WINDOWS\System32\upnphost.dll
13:32:46.0421 1860 upnphost - ok
13:32:46.0468 1860 [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS C:\WINDOWS\System32\ups.exe
13:32:46.0625 1860 UPS - ok
13:32:46.0656 1860 [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp C:\WINDOWS\system32\DRIVERS\usbccgp.sys
13:32:46.0812 1860 usbccgp - ok
13:32:46.0875 1860 [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci C:\WINDOWS\system32\DRIVERS\usbehci.sys
13:32:47.0062 1860 usbehci - ok
13:32:47.0109 1860 [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub C:\WINDOWS\system32\DRIVERS\usbhub.sys
13:32:47.0343 1860 usbhub - ok
13:32:47.0375 1860 [ A717C8721046828520C9EDF31288FC00 ] usbprint C:\WINDOWS\system32\DRIVERS\usbprint.sys
13:32:47.0562 1860 usbprint - ok
13:32:47.0593 1860 [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:32:47.0765 1860 USBSTOR - ok
13:32:47.0843 1860 [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci C:\WINDOWS\system32\DRIVERS\usbuhci.sys
13:32:48.0000 1860 usbuhci - ok
13:32:48.0015 1860 [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave C:\WINDOWS\System32\drivers\vga.sys
13:32:48.0187 1860 VgaSave - ok
13:32:48.0187 1860 ViaIde - ok
13:32:48.0265 1860 [ A5A712F4E880874A477AF790B5186E1D ] VolSnap C:\WINDOWS\system32\drivers\VolSnap.sys
13:32:48.0468 1860 VolSnap - ok
13:32:48.0734 1860 [ 0354BA3A5BA5E28CC247EB5F5DD8793C ] vsdatant C:\WINDOWS\system32\vsdatant.sys
13:32:49.0093 1860 vsdatant - ok
13:32:49.0281 1860 [ 68F106273BE29E7B7EF8266977268E78 ] VSS C:\WINDOWS\System32\vssvc.exe
13:32:49.0531 1860 VSS - ok
13:32:49.0671 1860 [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time C:\WINDOWS\system32\w32time.dll
13:32:49.0984 1860 W32Time - ok
13:32:50.0031 1860 [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp C:\WINDOWS\system32\DRIVERS\wanarp.sys
13:32:50.0234 1860 Wanarp - ok
13:32:50.0593 1860 [ FD47474BD21794508AF449D9D91AF6E6 ] Wdf01000 C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
13:32:51.0031 1860 Wdf01000 - ok
13:32:51.0031 1860 WDICA - ok
13:32:51.0125 1860 [ 6768ACF64B18196494413695F0C3A00F ] wdmaud C:\WINDOWS\system32\drivers\wdmaud.sys
13:32:51.0390 1860 wdmaud - ok
13:32:51.0453 1860 [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient C:\WINDOWS\System32\webclnt.dll
13:32:51.0625 1860 WebClient - ok
13:32:51.0828 1860 [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt C:\WINDOWS\system32\wbem\WMIsvc.dll
13:32:52.0125 1860 winmgmt - ok
13:32:52.0187 1860 [ 6E18978B749F0696A774DE3F2CB142DD ] WmdmPmSN C:\WINDOWS\system32\mspmsnsv.dll
13:32:52.0359 1860 WmdmPmSN - ok
13:32:52.0734 1860 [ FFA4D901D46D07A5BAB2D8307FBB51A6 ] Wmi C:\WINDOWS\System32\advapi32.dll
13:32:53.0187 1860 Wmi - ok
13:32:53.0281 1860 [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv C:\WINDOWS\system32\wbem\wmiapsrv.exe
13:32:53.0609 1860 WmiApSrv - ok
13:32:54.0062 1860 [ DCF3E3EDF5109EE8BC02FE6E1F045795 ] WPFFontCache_v0400 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
13:32:54.0828 1860 WPFFontCache_v0400 - ok
13:32:54.0953 1860 [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc C:\WINDOWS\system32\wscsvc.dll
13:32:55.0140 1860 wscsvc - ok
13:32:55.0187 1860 [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv C:\WINDOWS\system32\wuauserv.dll
13:32:55.0343 1860 wuauserv - ok
13:32:55.0609 1860 [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC C:\WINDOWS\System32\wzcsvc.dll
13:32:56.0000 1860 WZCSVC - ok
13:32:56.0109 1860 [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov C:\WINDOWS\System32\xmlprov.dll
13:32:56.0328 1860 xmlprov - ok
13:32:56.0343 1860 ================ Scan global ===============================
13:32:56.0406 1860 [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
13:32:56.0656 1860 [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
13:32:56.0968 1860 [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
13:32:57.0046 1860 [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
13:32:57.0062 1860 [Global] - ok
13:32:57.0062 1860 ================ Scan MBR ==================================
13:32:57.0093 1860 [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
13:32:57.0593 1860 \Device\Harddisk0\DR0 - ok
13:32:57.0593 1860 ================ Scan VBR ==================================
13:32:57.0593 1860 [ CB7564285C57AD9F5D97E0977D5DD601 ] \Device\Harddisk0\DR0\Partition1
13:32:57.0593 1860 \Device\Harddisk0\DR0\Partition1 - ok
13:32:57.0593 1860 ============================================================
13:32:57.0593 1860 Scan finished
13:32:57.0593 1860 ============================================================
13:32:57.0703 1520 Detected object count: 1
13:32:57.0703 1520 Actual detected object count: 1
13:37:14.0062 1520 CVPNDRVA ( UnsignedFile.Multi.Generic ) - skipped by user
13:37:14.0062 1520 CVPNDRVA ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:37:31.0531 3992 Deinitialize success
|
|
05.04.2013, 14:47
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Dann bitte jetzt Combofix ausführen: Scan mit Combofix
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.04.2013, 15:41
| #5 |
| | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo cosinus, ComboFix ist durch: Code:
ATTFilter ComboFix 13-04-04.01 - Corina 05.04.2013 16:24:58.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.405 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Corina\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-03-05 bis 2013-04-05 ))))))))))))))))))))))))))))))
.
.
2013-04-04 11:45 . 2013-04-04 11:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2013-04-04 11:45 . 2012-12-14 14:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-04-04 10:23 . 2013-04-04 10:23 -------- d-----w- c:\programme\Broadcom
2013-04-04 08:40 . 2013-04-04 08:40 -------- d-----w- c:\dokumente und einstellungen\Corina\Anwendungsdaten\Avira
2013-04-04 08:34 . 2013-04-04 08:33 84744 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-04-04 08:34 . 2013-04-04 08:33 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2013-04-04 08:34 . 2013-04-04 08:33 135136 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-04-04 08:34 . 2013-04-04 08:34 -------- d-----w- c:\programme\Avira
2013-04-04 08:34 . 2013-04-04 08:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-03-22 09:17 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-13 16:18 . 2013-03-13 16:18 16486616 ----a-w- c:\windows\system32\FlashPlayerInstaller.exe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-13 16:18 . 2012-10-07 15:21 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-13 16:18 . 2012-10-07 15:21 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-02-12 00:32 . 2008-04-14 12:00 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2008-04-14 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-02-05 05:53 . 2008-04-14 12:00 385024 ------w- c:\windows\system32\html.iec
2013-01-26 03:55 . 2008-04-14 12:00 552448 ----a-w- c:\windows\system32\oleaut32.dll
2013-01-11 10:39 . 2013-02-12 14:43 88576 ----a-w- c:\windows\system32\pdfcmon.dll
2013-01-07 07:24 . 2008-04-14 12:00 2151424 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2008-04-14 07:30 2030080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-04-05 14:15 . 2013-04-05 14:14 263064 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-17 8495104]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-04-04 345312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Corina\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico [2012-11-16 6144]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 2000 Series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 12:00 110592 ----a-w- c:\windows\system32\bthprops.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-11-17 01:03 8495104 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey]
2007-11-17 01:03 86016 ----a-w- c:\windows\system32\nvhotkey.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-11-17 01:03 81920 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-11-17 01:03 1626112 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2007-05-10 08:22 405504 ----a-w- c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Dokumente und Einstellungen\\Corina\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Cisco Systems\\VPN Client\\vpnclient.exe"=
"c:\\WINDOWS\\system32\\hasplms.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [04.04.2013 10:34 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.04.2013 10:34 86752]
R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]
R2 PDF Architect Helper Service;PDF Architect Helper Service;c:\programme\PDF Architect\HelperService.exe [09.01.2013 18:34 1324104]
R2 PDF Architect Service;PDF Architect Service;c:\programme\PDF Architect\ConversionService.exe [09.01.2013 18:36 795208]
S2 MTBService_2.0.0.13;MTB2011 Server (2.0.0.13);"c:\programme\Carl Zeiss\MTB 2011 - 2.0.0.13\MTB Server Console\MTBService.exe" --> c:\programme\Carl Zeiss\MTB 2011 - 2.0.0.13\MTB Server Console\MTBService.exe [?]
S3 CZCanSrv;CZCanSrv;c:\programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe --> c:\programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-07 16:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://verbose/
uSearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?rls=org.mozilla:en-US:official&client=firefox-a&q=
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2013-02-12 15:45; FFPDFArchitectConverter@pdfarchitect.com; c:\programme\PDF Architect\FFPDFArchitectExt
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-05 16:31
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1872)
c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2013-04-05 16:34:08
ComboFix-quarantined-files.txt 2013-04-05 14:34
.
Vor Suchlauf: 6 Verzeichnis(se), 58.159.722.496 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 58.297.712.640 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F43B4E0BC71B6FDF4DA43DCCDD085B86
|
|
05.04.2013, 15:43
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Im Anschluss: adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Danach eine Kontrolle mit OTL bitte:
__________________ --> Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings |
|
05.04.2013, 16:21
| #7 |
| | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo cosinus, aus Interesse: hast du einen Verursacher ausmachen können? Beste Grüße Hier die nächsten Logfiles: JRT: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.8.2 (04.04.2013:1)
OS: Microsoft Windows XP x86
Ran by Corina on 05.04.2013 at 16:47:57,50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113}
Successfully repaired: [Registry Value] hkey_current_user\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\.default\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-18\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-19\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-20\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\S-1-5-21-776561741-583907252-1177238915-1003\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\DisplayName
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\URL
~~~ Registry Keys
Successfully deleted: [Registry Key] hkey_current_user\software\microsoft\internet explorer\searchscopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{ae07101b-46d4-4a98-af68-0333ea26e113}
~~~ Files
Successfully deleted: [File] C:\WINDOWS\prefetch\APNSTUB.EXE-3B78462D.pf
~~~ Folders
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\opencandy"
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\pdfforge"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 05.04.2013 at 16:53:17,90
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
AdwCleaner: Code:
ATTFilter # AdwCleaner v2.200 - Datei am 05/04/2013 um 16:55:09 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Corina - CORINA-LAPTOP
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Corina\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v20.0 (de)
Datei : C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\prefs.js
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R2].txt - [898 octets] - [05/04/2013 16:54:52]
AdwCleaner[S1].txt - [832 octets] - [05/04/2013 16:55:09]
########## EOF - C:\AdwCleaner[S1].txt - [891 octets] ##########
OTL: Code:
ATTFilter OTL logfile created on: 05.04.2013 17:09:38 - Run 2 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Corina\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1022,11 Mb Total Physical Memory | 377,99 Mb Available Physical Memory | 36,98% Memory free 2,40 Gb Paging File | 1,75 Gb Available in Paging File | 72,87% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,44 Gb Total Space | 54,30 Gb Free Space | 72,94% Space Free | Partition Type: NTFS Computer Name: CORINA-LAPTOP | User Name: Corina | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Corina\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\PDF Architect\ConversionService.exe (pdfforge GbR) PRC - C:\Programme\PDF Architect\HelperService.exe (pdfforge GbR) PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) PRC - C:\WINDOWS\system32\hasplms.exe (Aladdin Knowledge Systems Ltd.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (No Company Name) ========== MOD - C:\Programme\Mozilla Firefox\mozjs.dll () MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\WINDOWS\system32\vpnapi.dll () MOD - C:\WINDOWS\system32\msdmo.dll () MOD - C:\WINDOWS\system32\nvshell.dll () ========== Services (SafeList) ========== SRV - (MTBService_2.0.0.13) -- C:\Programme\Carl Zeiss\MTB 2011 File not found SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found SRV - (CZCanSrv) -- C:\Programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe File not found SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated) SRV - (PDF Architect Service) -- C:\Programme\PDF Architect\ConversionService.exe (pdfforge GbR) SRV - (PDF Architect Helper Service) -- C:\Programme\PDF Architect\HelperService.exe (pdfforge GbR) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) SRV - (hasplms) -- C:\WINDOWS\system32\hasplms.exe (Aladdin Knowledge Systems Ltd.) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (guardian2) -- System32\Drivers\oz776.sys File not found DRV - (Changer) -- File not found DRV - (catchme) -- C:\DOKUME~1\Corina\LOKALE~1\Temp\catchme.sys File not found DRV - (ApfiltrService) -- system32\DRIVERS\Apfiltr.sys File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG) DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.) DRV - (Tcpip6) -- C:\WINDOWS\system32\drivers\tcpip6.sys (Microsoft Corporation) DRV - (NETw5x32) -- C:\WINDOWS\system32\drivers\NETw5x32.sys (Intel Corporation) DRV - (hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.) DRV - (aksfridge) -- C:\WINDOWS\system32\drivers\aksfridge.sys (Aladdin Knowledge Systems Ltd.) DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC) DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.) DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.) DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search IE - HKU\.DEFAULT\..\SearchScopes,defaultscope = IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\..\SearchScopes,defaultscope = IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\..\SearchScopes,defaultscope = IE - HKU\S-1-5-20\..\SearchScopes,defaultscope = IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.bing.com/search?q={searchTerms} IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "about:home" FF - prefs.js..extensions.enabledAddons: adblockpopups%40jessehakanen.net:0.7 FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.5.9 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0 FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?rls=org.mozilla:en-US:official&client=firefox-a&q=" FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Programme\PDF Architect\FFPDFArchitectExt [2013.02.12 16:44:56 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.04.05 16:15:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.10.07 15:53:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Extensions [2013.03.30 18:19:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions [2013.03.03 17:04:03 | 000,134,804 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\adblockpopups@jessehakanen.net.xpi [2013.03.30 18:19:32 | 000,531,916 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2013.02.15 13:15:54 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013.02.12 17:01:42 | 000,006,362 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\searchplugins\Google.xml [2013.04.05 16:14:05 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2013.04.05 16:15:18 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.09.06 04:07:37 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (PDF Architect Helper) - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Programme\PDF Architect\PDFIEHelper.dll (pdfforge GbR) O3 - HKLM\..\Toolbar: (PDF Architect Toolbar) - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Programme\PDF Architect\PDFIEPlugin.dll (pdfforge GbR) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico () O4 - Startup: C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00C207BB-4CD0-4CA8-B50C-43094D0E8473}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2012.10.07 14:26:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.04.05 17:07:21 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Corina\Desktop\OTL.exe [2013.04.05 16:47:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERUNT [2013.04.05 16:47:32 | 000,000,000 | ---D | C] -- C:\JRT [2013.04.05 16:46:46 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2013.04.05 16:23:00 | 000,000,000 | RHSD | C] -- C:\cmdcons [2013.04.05 16:19:17 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2013.04.05 16:19:17 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2013.04.05 16:19:17 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2013.04.05 16:19:17 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2013.04.05 16:19:02 | 000,000,000 | ---D | C] -- C:\Qoobox [2013.04.05 16:18:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Verwaltung [2013.04.05 16:18:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt [2013.04.05 16:14:05 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2013.04.04 13:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2013.04.04 13:45:26 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2013.04.04 13:45:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2013.04.04 12:23:49 | 000,000,000 | ---D | C] -- C:\Programme\Broadcom [2013.04.04 10:40:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Avira [2013.04.04 10:34:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2013.04.04 10:34:09 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2013.04.04 10:34:05 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys [2013.04.04 10:34:05 | 000,084,744 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2013.04.04 10:34:05 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2013.04.04 09:55:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Corina\Recent [2013.03.22 11:17:17 | 000,012,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usb8023x.sys [2013.03.19 18:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Corina\Desktop\Arbeitsamt [2013.03.13 18:18:13 | 016,486,616 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.04.05 17:07:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Corina\Desktop\OTL.exe [2013.04.05 17:06:10 | 000,494,358 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.04.05 17:06:09 | 000,517,804 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.04.05 17:06:09 | 000,101,850 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.04.05 17:06:09 | 000,084,902 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.04.05 17:03:39 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001 [2013.04.05 17:02:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.04.05 17:01:16 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk [2013.04.05 16:58:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.04.05 16:23:11 | 000,000,327 | RHS- | M] () -- C:\boot.ini [2013.04.05 16:16:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2013.04.04 15:19:17 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\defogger_reenable [2013.04.04 13:54:28 | 000,001,039 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Autostart\Dropbox.lnk [2013.04.04 13:50:33 | 000,001,033 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Desktop\Dropbox.lnk [2013.04.04 13:45:32 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.04 10:34:31 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2013.04.04 10:33:10 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys [2013.04.04 10:33:10 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2013.04.04 10:33:10 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2013.04.04 10:33:10 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2013.03.20 15:44:30 | 000,011,776 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2013.03.20 13:29:06 | 000,411,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Eigene Dateien\Personalausweis Corina Zimmermann.pdf [2013.03.13 18:18:19 | 000,693,976 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2013.03.13 18:18:19 | 000,073,432 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2013.03.13 18:18:14 | 016,486,616 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe [2013.03.09 22:17:59 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.04.05 16:23:11 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2013.04.05 16:23:05 | 000,262,448 | RHS- | C] () -- C:\cmldr [2013.04.05 16:19:17 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2013.04.05 16:19:17 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2013.04.05 16:19:17 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2013.04.05 16:19:17 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2013.04.05 16:19:17 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2013.04.04 15:19:17 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\defogger_reenable [2013.04.04 13:54:28 | 000,001,039 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Autostart\Dropbox.lnk [2013.04.04 13:45:32 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.04 10:34:31 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2013.03.20 13:29:04 | 000,411,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Eigene Dateien\Personalausweis Corina Zimmermann.pdf [2013.02.12 18:32:43 | 000,008,109 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel [2012.12.16 20:15:28 | 000,679,750 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-776561741-583907252-1177238915-1003-0.dat [2012.12.12 15:15:23 | 000,196,318 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2012.10.27 16:49:30 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.10.14 11:35:09 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.10.07 16:51:15 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat [2012.10.07 16:51:15 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat [2012.10.07 15:28:39 | 000,118,678 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat [2012.10.07 15:27:20 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2012.10.07 15:27:19 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2012.10.07 15:27:19 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2012.10.07 15:27:18 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2012.10.07 15:27:17 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2012.10.07 15:27:16 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2012.10.07 15:27:12 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2012.10.07 15:27:10 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2012.10.07 14:42:28 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2012.10.07 14:41:13 | 000,188,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.10.07 14:29:26 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2012.10.07 14:23:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat ========== ZeroAccess Check ========== [2012.11.20 21:09:33 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 14:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2013.02.17 19:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Carl Zeiss [2012.12.12 14:46:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Carl Zeiss [2013.04.05 17:03:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox [2013.02.12 16:52:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\PDF Architect ========== Purity Check ========== < End of report > OTL Extras: Code:
ATTFilter OTL Extras logfile created on: 05.04.2013 17:09:38 - Run 2
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Corina\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1022,11 Mb Total Physical Memory | 377,99 Mb Available Physical Memory | 36,98% Memory free
2,40 Gb Paging File | 1,75 Gb Available in Paging File | 72,87% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,44 Gb Total Space | 54,30 Gb Free Space | 72,94% Space Free | Partition Type: NTFS
Computer Name: CORINA-LAPTOP | User Name: Corina | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_USERS\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe" = C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Cisco Systems\VPN Client\vpnclient.exe" = C:\Programme\Cisco Systems\VPN Client\vpnclient.exe:*:Enabled:vpnclient -- ()
"C:\WINDOWS\system32\hasplms.exe" = C:\WINDOWS\system32\hasplms.exe:*:Enabled:HASP LLM -- (Aladdin Knowledge Systems Ltd.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1CE60928-8325-49A8-8B06-633E48DD2B67}" = Cisco Systems VPN Client 5.0.07.0410
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
"{80A07844-CA64-4DE4-AB61-D37DDBE8074F}" = PDF Architect
"{82CE6B7B-9665-4E29-8CE0-DD993484B38D}" = Intel(R) PROSet/Wireless WiFi-Software
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{93FB47FB-4FDF-4131-B5FD-7A37883868E7}" = hp psc 2170 series
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom Gigabit Integrated Controller
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"ENTERPRISE" = Microsoft Office Enterprise 2007
"HP PSC 2170 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 2170 series
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Mendeley Desktop" = Mendeley Desktop 1.6
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox 20.0 (x86 de)" = Mozilla Firefox 20.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"VLC media player" = VLC media player 2.0.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 30.10.2012 14:27:30 | Computer Name = CORINA-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 15.11.2012 06:12:51 | Computer Name = CORINA-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 09.12.2012 11:58:32 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 13.4.0.294, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 04.02.2013 06:21:00 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.5.33, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 04.02.2013 06:21:44 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -946333272.
Error - 15.02.2013 08:14:15 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.02.2013 08:14:38 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.02.2013 08:14:43 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 21.02.2013 10:36:23 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PDF Architect.exe, Version 1.0.52.8917, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 04.04.2013 11:02:02 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 04.04.2013 11:06:35 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 04.04.2013 11:06:50 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 04.04.2013 11:06:59 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 04.04.2013 11:07:06 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 05.04.2013 04:20:19 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 05.04.2013 05:59:03 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 05.04.2013 06:53:20 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
Error - 05.04.2013 10:04:04 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 05.04.2013 11:01:25 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
< End of report >
|
|
06.04.2013, 02:04
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
|
06.04.2013, 15:00
| #9 |
| | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo cosinus, puh, das beruhigt mich dann schon mal. Hier die beiden nächsten Logfiles (keine Funde): Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.04.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Corina :: CORINA-LAPTOP [Administrator] 04.04.2013 13:46:43 mbam-log-2013-04-04 (13-46-43).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 250498 Laufzeit: 1 Stunde(n), 21 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) ESET: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=55220f41cdf24440b19d07750bc9781c
# engine=13563
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-06 01:15:14
# local_time=2013-04-06 03:15:14 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1799 16775165 100 97 13817 189946 6358 0
# scanned=40992
# found=0
# cleaned=0
# scan_time=9413
|
|
06.04.2013, 17:05
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Sieht soweit ok aus Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
07.04.2013, 16:24
| #11 |
| | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo cosinus, danke für deine Tips und deine wirklich tolle Hilfe. Über cookies wusste ich zumindest oberflächlich bescheid, ich habe kurzerhand den Browser wie vorgeschlagen eingestellt, da ich mich ohnehin nie dauerhaft irgendwo eingeloggt habe. Somit ist das für mich die einfachste Lösung, auch deinen Vorschlag mit dem MVPS Hosts File klingt sinnvoll, das habe ich auch direkt mal gemacht. Beim heutigen Scan meines PCs durch den Virenscanner wurde der versteckte Eintrag leider wieder gefunden. Abgesehen davon hatte ich bislang eben auf dem Rechner keinerlei Virenfunde oder sonstige Probleme. Gibt es noch eine Möglichkeit herauszufinden was dahinter steckt? Falls nicht habe ich wohl nur die Möglichkeit mich damit zu arrangieren (wenn es kein Sicherhiutsproblem ist), oder das System neu aufzusetzen. Viele Grüße |
|
07.04.2013, 23:20
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Vergiss die Meldung von AntiVir, ich denke das Teil ist einfach zu hysterisch.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.04.2013, 11:09
| #13 |
| | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Hallo cosinus, alles klar. Nochmals vielen Dank für deine großartige Hilfe, auch wenn es zum Glück nur ein Fehlalarm gewesen ist! Viele Grüße |
|
08.04.2013, 11:42
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings Dann wären wir durch!  Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit sollte man nach beseitigten Infektionen auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings |
| administrator, adobe, adobe reader xi, antivir, avira, bho, converter, desktop, error, excel, explorer, fehler, firefox, flash player, format, google, malware, mozilla, office 2007, registry, rundll, schädling, security, software, system, temp, trojaner-board, udp, windows internet |
WARNUNG an die MITLESER: 
Linear-Darstellung
