| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
17.12.2009, 19:22
| #1 |
 |  Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07ACode:
ATTFilter
ComboFix 09-12-16.01 - xxx Online 17.12.2009 17:04:41.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.305 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx Online\Desktop\cfscript.txt
AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-17 bis 2009-12-17 ))))))))))))))))))))))))))))))
.
2009-12-15 22:17 . 2009-12-15 22:17 -------- d-----w- C:\_OTL
2009-12-14 03:53 . 2009-12-14 03:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-12-13 21:20 . 2009-12-14 05:41 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\DoctorWeb
2009-12-09 19:09 . 2009-12-13 20:23 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\DoctorWeb A
2009-12-08 18:23 . 2009-12-08 18:24 -------- d-----w- c:\programme\Sophos
2009-12-08 17:37 . 2009-12-08 17:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-08 00:59 . 2009-12-08 00:59 -------- d-----w- c:\programme\ALCATech
2009-12-07 23:20 . 2001-05-28 14:30 8864 ----a-w- c:\windows\system32\drivers\MARXDEV3.SYS
2009-12-07 23:19 . 2001-11-05 10:56 32960 ----a-w- c:\windows\system32\drivers\mmrtkrnl.sys
2009-12-04 21:08 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-12-04 21:08 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-12-04 21:07 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-12-04 21:07 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2009-11-29 02:43 . 2009-11-29 02:43 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Malwarebytes
2009-11-26 00:06 . 2009-11-26 00:06 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Foxit
2009-11-24 01:44 . 2009-11-24 01:44 -------- d-----w- c:\programme\Microsoft Silverlight
2009-11-24 01:42 . 2009-11-24 01:42 -------- d-----w- c:\programme\Microsoft
2009-11-22 19:40 . 2009-11-22 19:40 -------- d-----w- c:\programme\SIW
2009-11-20 01:24 . 2009-11-20 01:24 -------- d-----w- c:\programme\SiSoftware
2009-11-20 00:59 . 2009-11-20 00:59 -------- d-----w- c:\programme\HD Tune
2009-11-20 00:57 . 2009-03-27 15:36 286208 ----a-w- c:\programme\gmer.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-17 16:19 . 2009-02-13 10:00 745504 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-12-17 16:14 . 2009-02-13 10:00 32 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-12-17 16:13 . 2009-02-13 10:00 2864416 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-12-17 16:11 . 2009-02-13 10:00 284180 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-12-17 15:45 . 2009-07-15 07:34 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-17 15:45 . 2009-07-14 17:00 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-12-17 14:13 . 2009-02-13 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-12-14 06:06 . 2009-11-10 18:16 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\vlc
2009-12-09 02:11 . 2009-03-18 03:26 -------- d-----w- c:\programme\Unlocker
2009-12-09 01:52 . 2009-02-01 18:15 -------- d-----w- c:\programme\Free WMA to MP3 Converter
2009-12-09 00:24 . 2009-03-18 03:26 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker
2009-12-08 17:21 . 2009-07-12 21:24 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-07 19:45 . 2009-11-08 20:58 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-07 11:22 . 2009-12-07 11:19 4844296 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-03 15:14 . 2009-11-08 20:58 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-11-08 20:58 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-23 19:32 . 2009-08-15 08:28 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Nero
2009-11-23 14:39 . 2009-11-22 19:56 79488 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-22 23:35 . 2009-11-22 23:35 79488 ----a-w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-22 19:20 . 2009-02-17 18:01 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Orbit
2009-11-22 19:12 . 2009-02-17 17:59 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Orbit
2009-11-21 20:17 . 2008-12-05 01:24 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\dvdcss
2009-11-20 22:28 . 2009-11-20 22:28 177024 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe
2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp
2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp
2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp
2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp
2009-11-18 01:19 . 2009-07-13 19:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-11-18 01:09 . 2009-07-13 20:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-17 20:30 . 2009-11-12 04:24 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\vlc
2009-11-12 18:01 . 2009-11-12 18:01 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\.clamwin
2009-11-12 17:11 . 2009-11-12 17:11 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\.clamwin
2009-11-12 17:10 . 2009-11-12 17:10 -------- d-----w- c:\programme\ClamWin
2009-11-11 18:11 . 2009-07-13 20:06 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-11-10 14:36 . 2009-11-10 14:28 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Winamp
2009-11-10 14:30 . 2009-11-10 14:28 -------- d-----w- c:\programme\Winamp
2009-11-10 14:06 . 2009-11-10 14:06 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Winamp
2009-11-08 20:58 . 2009-11-08 20:58 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Malwarebytes
2009-11-08 20:58 . 2009-11-08 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-04 07:35 . 2009-07-14 17:03 117760 ----a-w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-11-02 15:02 . 2009-11-02 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-10-31 15:01 . 2009-10-31 15:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-10-28 09:44 . 2001-08-23 11:00 70778 ----a-w- c:\windows\system32\perfc007.dat
2009-10-28 09:44 . 2001-08-23 11:00 405448 ----a-w- c:\windows\system32\perfh007.dat
2009-10-25 15:20 . 2009-10-25 15:20 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\dvdcss
2009-10-19 11:09 . 2009-02-13 10:01 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-19 11:09 . 2009-02-13 10:01 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-12 14:35 . 2009-07-14 12:02 49974 ----a-w- c:\programme\readsavxp_76_eng.html
2008-01-27 00:14 . 2009-05-11 20:30 75082408 ----a-w- c:\programme\90d_enu.exe
2007-10-22 17:06 . 2009-07-14 12:02 3189 ----a-w- c:\programme\readesavxpsa.txt
2004-05-07 10:25 . 2009-07-14 12:02 1822520 ----a-w- c:\programme\instmsiW.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-12-16_23.59.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-17 16:12 . 2009-12-17 16:12 16384 c:\windows\temp\Perflib_Perfdata_738.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536]
"UnlockerAssistant"="c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [12.02.2009 05:56 39472]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [28.10.2007 16:35 583128]
R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [27.12.2008 17:00 6336]
R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [08.12.2009 00:20 8864]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 14:28 24592]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [27.12.2008 17:00 13344]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [26.10.2007 14:53 250560]
S3 MaplomL;MaplomL;c:\windows\system32\drivers\maploml.sys [28.12.2008 09:13 38336]
S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [15.08.2009 21:30 51072]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [20.11.2009 02:24 99176]
S3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.internetcologne.de
mStart Page = hxxp://www.internetcologne.de
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-17 17:13
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(916)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\windows\system32\klogon.dll
- - - - - - - > 'lsass.exe'(972)
c:\windows\system32\relog_ap.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
- - - - - - - > 'explorer.exe'(3668)
c:\programme\SlySoft\AnyDVD\ADvdDiscHlp.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\ISW\netcol.dsl\signup\NcDial.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-17 17:25:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-17 16:25
ComboFix2.txt 2009-12-17 01:03
Vor Suchlauf: 12 Verzeichnis(se), 36.579.471.360 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 36.539.371.520 Bytes frei
- - End Of File - - EC67A22813C8FD5165ED3795472DD3B9
Code:
ATTFilter OTL logfile created on: 17.12.2009 18:23:46 - Run 1 OTL by OldTimer - Version 3.1.17.0 Folder = C:\Dokumente und Einstellungen\xxx Online\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,48 Mb Total Physical Memory | 302,25 Mb Available Physical Memory | 59,09% Memory free 1,22 Gb Paging File | 0,92 Gb Available in Paging File | 75,34% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 34,08 Gb Free Space | 45,74% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: NERD Current User Name: x Online Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\x Online\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe () PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG) PRC - C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe () PRC - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab) PRC - C:\WINDOWS\system32\wscntfy.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe (Nero AG) PRC - C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe (Acronis) PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis) PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\xxx Online\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerHook.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll (Kaspersky Lab) MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll (Kaspersky Lab) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.) SRV - (SandraAgentSrv) -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe (SiSoftware) SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG) SRV - (AVP) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab) SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG) SRV - (Nero BackItUp Scheduler 3) -- C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe (Nero AG) SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (SANDRA) -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\WNt500x86\sandra.sys (SiSoftware) DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis) DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis) DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis) DRV - (NeroCdNt) -- C:\WINDOWS\system32\drivers\NEROCDNT.SYS (ahead software gmbh im stöckmädle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 Compuserve: 101776.1057) DRV - (ASPIXNT) -- C:\WINDOWS\system32\drivers\Aspixnt.sys (LSI Logic) DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions) DRV - (MaplomL) -- C:\WINDOWS\system32\drivers\maploml.sys (SlySoft Inc.) DRV - (Maplom) -- C:\WINDOWS\system32\drivers\maplom.sys (SlySoft Inc.) DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.) DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (MHIKEY10) -- C:\WINDOWS\system32\drivers\MHIKEY10.sys (Generic USB smartcard reader) DRV - (ati2mtaa) -- C:\WINDOWS\system32\drivers\ati2mtaa.sys (ATI Technologies Inc.) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation) DRV - (klif) -- C:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab) DRV - (klim5) -- C:\WINDOWS\system32\drivers\klim5.sys (Kaspersky Lab) DRV - (kl1) -- C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Lab) DRV - (acedrv10) -- C:\WINDOWS\system32\drivers\ACEDRV10.sys (Protect Software GmbH) DRV - (acehlp10) -- C:\WINDOWS\system32\drivers\acehlp10.sys (Protect Software GmbH) DRV - (Uim_IM) -- C:\WINDOWS\system32\drivers\Uim_IM.sys (Paragon) DRV - (UimBus) -- C:\WINDOWS\system32\drivers\UimBus.sys (Windows (R) 2000 DDK provider) DRV - (hotcore3) -- C:\WINDOWS\system32\drivers\hotcore3.sys (Paragon Software Group) DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.) DRV - (ElbyDelay) -- C:\WINDOWS\system32\drivers\ElbyDelay.sys (Elaborate Bytes AG) DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider) DRV - (emAudio) -- C:\WINDOWS\system32\drivers\emAudio.sys (Pinnacle Systems, Inc.) DRV - (DCamUSBEMPIA) -- C:\WINDOWS\system32\drivers\emDevice.sys (eMPIA Technology, Inc.) DRV - (FiltUSBEMPIA) -- C:\WINDOWS\system32\drivers\emFilter.sys (eMPIA Technology, Inc.) DRV - (ScanUSBEMPIA) -- C:\WINDOWS\system32\drivers\emScan.sys (eMPIA Technology, Inc.) DRV - (VIAudio) VIA AC'97 Enhanced Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudio.sys (VIA Technologies, Inc.) DRV - (WinDSLp) -- C:\WINDOWS\system32\drivers\windsl.sys (Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG) DRV - (WinDSLa) WinDSL-Adapter (PPP-over-Ethernet) -- C:\WINDOWS\system32\drivers\windsl.sys (Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG) DRV - (MMRTKRNL) -- C:\WINDOWS\system32\drivers\mmrtkrnl.sys (ALCATech GmbH) DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.) DRV - (ati2mpaa) -- C:\WINDOWS\system32\drivers\ati2mpaa.sys (ATI Technologies Inc.) DRV - (FETNDIS) -- C:\WINDOWS\system32\drivers\fetnd5.sys (VIA Technologies, Inc. ) DRV - (MarxDev3) -- C:\WINDOWS\system32\drivers\MARXDEV3.SYS () DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys () ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.1.04 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: orbit_ffext@orbitdownloader:2.02 FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0 FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2009.07.12 22:40:20 | 00,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.17 17:46:13 | 00,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.12.17 17:46:13 | 00,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.17 17:46:13 | 00,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.12.17 17:46:13 | 00,000,000 | ---D | M] [2009.02.16 22:39:05 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Mozilla\Extensions [2009.12.16 20:04:28 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\extensions [2009.12.12 19:54:45 | 00,000,000 | ---D | M] (FlashGot) -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} [2009.12.16 20:04:28 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2009.10.29 02:20:28 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.10.29 02:20:28 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.10.29 02:20:29 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.10.29 02:20:29 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.10.29 02:20:29 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: (27 bytes) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll (Orbitdownloader.com) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AVP] C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab) O4 - HKLM..\Run: [ClamWin] C:\Programme\ClamWin\bin\ClamTray.exe (alch) O4 - HKLM..\Run: [CloneCDTray] C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.) O4 - HKLM..\Run: [NBKeyScan] C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG) O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe (Acronis) O4 - HKLM..\Run: [UnlockerAssistant] C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe () O4 - HKLM..\Run: [WinDSL MTU-Adjust] C:\WINDOWS\System32\WinDSL_MTU.exe (Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG) O4 - HKCU..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe (SlySoft, Inc.) O4 - HKCU..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm () O9 - Extra Button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll (Kaspersky Lab) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O15 - HKLM\..Trusted Domains: 57 domain(s) and sub-domain(s) not assigned to a zone. O15 - HKCU\..Trusted Domains: 56 domain(s) and sub-domain(s) not assigned to a zone. O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.11.28 19:53:22 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - comfile [open] -- "%1" %* O35 - exefile [open] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2009.12.17 17:10:26 | 00,000,000 | ---D | C] -- C:\WINDOWS\temp [2009.12.17 16:45:17 | 00,000,000 | ---D | C] -- C:\Config.Msi [2009.12.17 01:49:55 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx Online\Recent [2009.12.17 00:43:48 | 00,000,000 | RHSD | C] -- C:\cmdcons [2009.12.17 00:41:13 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2009.12.17 00:41:13 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2009.12.17 00:41:13 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2009.12.17 00:41:13 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2009.12.17 00:41:01 | 00,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2009.12.17 00:39:39 | 00,000,000 | ---D | C] -- C:\Qoobox [2009.12.15 23:17:13 | 00,000,000 | ---D | C] -- C:\_OTL [2009.12.15 23:13:25 | 00,538,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTL.exe [2009.12.14 04:53:55 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip [2009.12.14 04:53:33 | 00,000,000 | ---D | C] -- C:\Programme\WinZip [2009.12.12 15:37:32 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Download [2009.12.08 19:23:59 | 00,000,000 | ---D | C] -- C:\Programme\Sophos [2009.12.08 18:37:54 | 00,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe [2009.12.08 18:37:54 | 00,000,000 | ---D | C] -- C:\Programme\Adobe [2009.12.08 18:22:39 | 00,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2009.12.08 18:22:37 | 00,149,280 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2009.12.08 18:22:37 | 00,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2009.12.08 18:22:37 | 00,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2009.12.08 17:31:36 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx Online\Desktop\logfiles 1. schritt [2009.12.08 01:59:28 | 00,000,000 | ---D | C] -- C:\Programme\ALCATech [2009.12.08 00:19:50 | 00,032,960 | ---- | C] (ALCATech GmbH) -- C:\WINDOWS\System32\drivers\mmrtkrnl.sys [2009.12.06 20:51:45 | 00,472,064 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\xxx Online\Desktop\RootRepeal.exe [2009.12.04 22:08:16 | 00,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mouhid.sys [2009.12.04 22:07:30 | 00,010,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\hidusb.sys [2009.11.26 01:06:30 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Foxit [2009.11.24 02:44:07 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft Silverlight [2009.11.24 02:42:02 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft [2009.11.22 20:40:27 | 00,000,000 | ---D | C] -- C:\Programme\SIW [2009.11.20 02:24:37 | 00,000,000 | ---D | C] -- C:\Programme\SiSoftware [2009.11.20 01:59:13 | 00,000,000 | ---D | C] -- C:\Programme\HD Tune [2009.09.15 11:31:10 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple [2009.07.14 13:02:23 | 01,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiW.exe [2009.07.14 12:22:40 | 00,396,288 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\HijackThis.exe [2009.06.30 18:52:53 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google [2009.06.14 10:20:21 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2009.05.11 21:30:49 | 75,082,408 | ---- | C] (Sony Creative Software Inc.) -- C:\Programme\90d_enu.exe [2009.02.08 12:04:49 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft [2008.11.28 19:57:02 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft [2008.11.28 19:57:01 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft [2008.11.28 19:57:01 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft [4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2009.12.17 18:26:31 | 00,060,960 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat [2009.12.17 18:23:29 | 00,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Firefox lässt sich seit etwa 2 tagen trotz update auf 3.doc [2009.12.17 18:21:36 | 00,000,032 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx [2009.12.17 18:16:05 | 00,538,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTL.exe [2009.12.17 18:10:15 | 02,868,000 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat [2009.12.17 17:59:23 | 00,000,080 | -HS- | M] () -- C:\WINDOWS\klif.spi [2009.12.17 17:55:47 | 00,000,210 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2009.12.17 17:54:51 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2009.12.17 17:54:48 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2009.12.17 17:54:47 | 53,639,9872 | -HS- | M] () -- C:\hiberfil.sys [2009.12.17 17:53:51 | 00,284,516 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx [2009.12.17 17:53:29 | 12,582,912 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx Online\NTUSER.DAT [2009.12.17 17:53:29 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx Online\ntuser.ini [2009.12.17 17:14:56 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2009.12.17 17:13:17 | 00,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2009.12.17 01:50:40 | 00,004,024 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091217_015037.reg [2009.12.17 00:43:56 | 00,000,281 | RHS- | M] () -- C:\boot.ini [2009.12.17 00:36:23 | 00,002,290 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091217_003617.reg [2009.12.17 00:33:06 | 00,028,160 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\ComboFix und CCleaner ANLEITUNG2.doc [2009.12.17 00:24:39 | 03,852,908 | R--- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\KittyFix.exe [2009.12.16 18:57:33 | 00,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Fixen mit OTL2.doc [2009.12.16 14:11:03 | 00,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2009.12.16 04:18:58 | 00,024,064 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\xxxxxx 15.doc [2009.12.15 23:05:26 | 00,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Fixen mit OTL.doc [2009.12.15 21:42:38 | 00,192,184 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009.12.15 20:57:13 | 00,010,032 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091108_225358 änderungen registry 15.12.09 20.55h.reg [2009.12.15 20:45:38 | 00,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\CCleaner.lnk [2009.12.15 20:29:52 | 00,478,720 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\CCleaner Systembereinigung ANLEITUNG.doc [2009.12.15 17:27:30 | 00,289,280 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 15.12.09 14.23 uhr.xls [2009.12.15 16:48:15 | 00,060,416 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\ComboFix und CCleaner ANLEITUNG.doc [2009.12.15 12:31:08 | 00,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2009.12.15 02:28:23 | 00,289,280 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 14.12.09 22.20 uhr.xls [2009.12.14 23:59:15 | 00,288,256 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 14.12.09 20.41 uhr.xls [2009.12.14 20:26:25 | 00,277,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object3.doc [2009.12.14 20:19:50 | 00,277,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object5.doc [2009.12.14 20:17:48 | 00,277,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object4.doc [2009.12.14 20:10:29 | 00,277,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object2.doc [2009.12.14 20:04:58 | 00,251,420 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object 14.12. 19.54h.doc [2009.12.14 19:45:45 | 00,277,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object.doc [2009.12.14 07:10:03 | 00,186,368 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.12.14 07:10:03 | 00,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2009.12.14 04:29:37 | 00,011,573 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\gmer12.12.zip [2009.12.14 03:42:04 | 00,287,744 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 14.12.09 03.41 uhr.xls [2009.12.12 21:59:38 | 00,306,688 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Pe WK 12.12..doc [2009.12.11 10:04:52 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2009.12.09 22:54:07 | 00,261,632 | ---- | M] () -- C:\WINDOWS\PEV.exe [2009.12.09 19:46:12 | 00,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\OTL Scan Anleitung.doc [2009.12.09 19:45:21 | 00,322,560 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Dr.Web11.12..doc [2009.12.08 18:39:26 | 00,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2009.12.08 18:21:39 | 00,149,280 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2009.12.08 18:21:39 | 00,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2009.12.08 18:21:39 | 00,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2009.12.08 18:21:39 | 00,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2009.12.08 18:21:38 | 00,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll [2009.12.08 17:36:05 | 00,039,936 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\schritt 1 07.12.09.doc [2009.12.08 04:13:26 | 00,287,744 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 07.12.09 17.39 uhr.xls [2009.12.08 00:19:34 | 00,000,000 | ---- | M] () -- C:\WINDOWS\PROTOCOL.INI [2009.12.06 21:06:20 | 00,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\settings.dat [2009.12.06 20:53:40 | 00,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\rootkitscan.doc [2009.12.06 15:46:41 | 00,286,720 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 06.12.09 14.07 uhr.xls [2009.12.05 02:55:46 | 00,367,104 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER bearbeitet 05.12.09 REST für FORUM.doc [2009.12.05 02:55:02 | 00,578,560 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER bearbeitet 05.12.09.doc [2009.12.04 17:35:12 | 00,285,696 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 04.12.09 14.46 uhr.xls [2009.12.04 15:28:30 | 00,285,696 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 03.12.09 14.46 uhr.xls [2009.12.03 16:14:06 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2009.12.03 16:13:56 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2009.12.03 02:52:14 | 00,988,672 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER 30.11 auf 1.12.bearbeitet .doc [2009.12.01 03:41:51 | 01,002,496 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER 30.11 auf 1.12. .doc [2009.11.29 03:29:47 | 00,285,696 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 28.11.09 23.48 uhr.xls [2009.11.28 21:48:20 | 00,285,184 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 28.11.09 21.48 uhr.xls [2009.11.28 17:42:57 | 00,285,184 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 28.11.09 17.41 uhr.xls [2009.11.26 01:43:20 | 00,265,216 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Pearl 25.11.09.doc [2009.11.25 20:57:28 | 00,022,905 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\I.pdf [2009.11.24 02:49:44 | 00,045,956 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091124_024919.reg [2009.11.23 20:30:53 | 61,810,688 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\avira rescue image.iso [2009.11.23 19:46:48 | 00,458,240 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS kopie REGISTRY.doc [2009.11.23 19:46:20 | 00,167,936 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS PROBS.doc [2009.11.22 02:03:21 | 00,284,672 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 21.11.09 20.41 uhr.xls [2009.11.22 00:00:38 | 00,000,791 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Verknüpfung mit msnmsgr.lnk [2009.11.20 02:26:31 | 00,000,994 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SiSoftware Sandra Lite 2009.SP4.lnk [2009.11.17 21:25:09 | 00,384,138 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h25m09s115.png [2009.11.17 21:24:30 | 00,321,814 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m30s22.png [2009.11.17 21:24:01 | 00,447,904 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m01s250.png [2009.11.17 21:23:43 | 00,447,904 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h23m43s250.png [2009.11.17 20:17:41 | 00,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\TV 2.doc [2009.11.17 20:10:33 | 00,072,192 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\TV .doc [4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] ========== Files Created - No Company Name ========== [2009.12.17 18:10:14 | 00,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Firefox lässt sich seit etwa 2 tagen trotz update auf 3.doc [2009.12.17 17:59:23 | 00,000,080 | -HS- | C] () -- C:\WINDOWS\klif.spi [2009.12.17 01:50:39 | 00,004,024 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091217_015037.reg [2009.12.17 00:43:55 | 00,000,211 | ---- | C] () -- C:\Boot.bak [2009.12.17 00:43:51 | 00,262,448 | ---- | C] () -- C:\cmldr [2009.12.17 00:41:13 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe [2009.12.17 00:41:13 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2009.12.17 00:41:13 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2009.12.17 00:41:13 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2009.12.17 00:41:13 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2009.12.17 00:36:19 | 00,002,290 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091217_003617.reg [2009.12.17 00:33:06 | 00,028,160 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\ComboFix und CCleaner ANLEITUNG2.doc [2009.12.17 00:24:15 | 03,852,908 | R--- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\KittyFix.exe [2009.12.16 18:57:32 | 00,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Fixen mit OTL2.doc [2009.12.16 04:18:57 | 00,024,064 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\xxxxxx 15.doc [2009.12.15 23:05:25 | 00,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Fixen mit OTL.doc [2009.12.15 20:56:41 | 00,010,032 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091108_225358 änderungen registry 15.12.09 20.55h.reg [2009.12.15 20:45:37 | 00,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\CCleaner.lnk [2009.12.15 20:29:51 | 00,478,720 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\CCleaner Systembereinigung ANLEITUNG.doc [2009.12.15 16:47:44 | 00,060,416 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\ComboFix und CCleaner ANLEITUNG.doc [2009.12.15 14:35:48 | 00,289,280 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 15.12.09 14.23 uhr.xls [2009.12.15 01:06:12 | 00,289,280 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 14.12.09 22.20 uhr.xls [2009.12.14 21:15:46 | 00,288,256 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 14.12.09 20.41 uhr.xls [2009.12.14 20:19:50 | 00,277,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object5.doc [2009.12.14 20:15:15 | 00,277,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object4.doc [2009.12.14 20:13:37 | 00,277,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object3.doc [2009.12.14 20:10:29 | 00,277,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object2.doc [2009.12.14 19:55:24 | 00,251,420 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object 14.12. 19.54h.doc [2009.12.14 19:45:45 | 00,277,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\hidden object.doc [2009.12.14 04:29:37 | 00,011,573 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\gmer12.12.zip [2009.12.14 03:42:01 | 00,287,744 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 14.12.09 03.41 uhr.xls [2009.12.14 02:24:49 | 53,639,9872 | -HS- | C] () -- C:\hiberfil.sys [2009.12.12 21:59:38 | 00,306,688 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Pe WK 12.12..doc [2009.12.09 19:46:12 | 00,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\OTL Scan Anleitung.doc [2009.12.09 19:45:20 | 00,322,560 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Dr.Web11.12..doc [2009.12.08 18:39:26 | 00,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2009.12.08 00:20:06 | 00,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV3.SYS [2009.12.08 00:19:34 | 00,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2009.12.07 17:41:19 | 00,287,744 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 07.12.09 17.39 uhr.xls [2009.12.07 12:32:32 | 00,039,936 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\schritt 1 07.12.09.doc [2009.12.06 21:06:20 | 00,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\settings.dat [2009.12.06 20:53:40 | 00,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\rootkitscan.doc [2009.12.06 14:07:43 | 00,286,720 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 06.12.09 14.07 uhr.xls [2009.12.05 02:55:46 | 00,367,104 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER bearbeitet 05.12.09 REST für FORUM.doc [2009.12.05 02:12:18 | 00,578,560 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER bearbeitet 05.12.09.doc [2009.12.04 16:24:20 | 00,285,696 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 04.12.09 14.46 uhr.xls [2009.12.04 14:46:50 | 00,285,696 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 03.12.09 14.46 uhr.xls [2009.12.03 02:39:50 | 00,988,672 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER 30.11 auf 1.12.bearbeitet .doc [2009.12.01 03:41:51 | 01,002,496 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER 30.11 auf 1.12. .doc [2009.11.29 00:08:03 | 00,285,696 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 28.11.09 23.48 uhr.xls [2009.11.28 21:48:18 | 00,285,184 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 28.11.09 21.48 uhr.xls [2009.11.28 17:42:54 | 00,285,184 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 28.11.09 17.41 uhr.xls [2009.11.26 01:43:19 | 00,265,216 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Pearl 25.11.09.doc [2009.11.25 20:57:02 | 00,022,905 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\I.pdf [2009.11.24 02:49:28 | 00,045,956 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091124_024919.reg [2009.11.23 20:30:34 | 61,810,688 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\avira rescue image.iso [2009.11.23 19:46:48 | 00,458,240 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS kopie REGISTRY.doc [2009.11.23 19:46:19 | 00,167,936 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS PROBS.doc [2009.11.22 00:00:38 | 00,000,791 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Verknüpfung mit msnmsgr.lnk [2009.11.21 20:41:54 | 00,284,672 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\O 21.11.09 20.41 uhr.xls [2009.11.20 02:26:31 | 00,000,994 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SiSoftware Sandra Lite 2009.SP4.lnk [2009.11.20 02:24:57 | 11,808,768 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sandra.mda [2009.11.20 01:57:34 | 00,286,208 | ---- | C] () -- C:\Programme\gmer.exe [2009.11.17 21:25:09 | 00,384,138 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h25m09s115.png [2009.11.17 21:24:30 | 00,321,814 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m30s22.png [2009.11.17 21:24:01 | 00,447,904 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m01s250.png [2009.11.17 21:23:43 | 00,447,904 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h23m43s250.png [2009.11.17 20:17:41 | 00,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\TV .doc [2009.11.17 20:10:33 | 00,072,192 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\TV .doc [2009.11.17 19:55:05 | 73,851,0682 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\PICT0001.MOV [2009.10.27 20:14:59 | 00,000,135 | ---- | C] () -- C:\WINDOWS\ppdrv.ini [2009.08.15 21:03:14 | 00,004,757 | ---- | C] () -- C:\WINDOWS\Irremote.ini [2009.08.11 15:44:54 | 00,000,179 | ---- | C] () -- C:\WINDOWS\muma2000.INI [2009.08.11 15:32:10 | 00,000,094 | ---- | C] () -- C:\WINDOWS\MAGIX.ini [2009.07.14 13:02:23 | 00,049,974 | ---- | C] () -- C:\Programme\readsavxp_76_eng.html [2009.07.14 13:02:23 | 00,003,189 | ---- | C] () -- C:\Programme\readesavxpsa.txt [2009.03.16 04:33:45 | 00,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.03.08 22:19:52 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2009.03.08 22:19:48 | 00,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2009.02.16 22:32:22 | 00,007,168 | ---- | C] () -- C:\WINDOWS\suecmdial.dll [2009.02.12 05:56:41 | 00,011,568 | ---- | C] () -- C:\WINDOWS\System32\drivers\UimFIO.sys [2009.02.12 05:56:38 | 04,244,744 | ---- | C] () -- C:\WINDOWS\System32\qtp-mt334.dll [2009.02.12 05:56:38 | 00,247,560 | ---- | C] () -- C:\WINDOWS\System32\prgiso.dll [2009.02.07 11:05:13 | 00,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.01.16 14:56:46 | 01,015,808 | ---- | C] () -- C:\WINDOWS\System32\MPEG4Evfw.dll [2008.12.27 23:30:39 | 00,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll [2008.12.27 23:21:11 | 00,002,605 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2008.12.27 23:21:10 | 00,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008.12.20 23:33:01 | 00,000,210 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2008.11.30 18:31:40 | 00,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.11.30 18:31:38 | 00,186,368 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.11.28 20:35:44 | 00,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2008.11.06 17:37:32 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.11.06 17:34:00 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest [2008.11.06 17:34:00 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest [2008.11.06 17:33:02 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [1996.04.03 20:33:26 | 00,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys < End of report > |
|
17.12.2009, 19:25
| #2 |
| | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Ein glück, es gibt auch was, wo du dich nicht auskennst :-)
__________________Firefox lässt sich seit etwa 2 tagen trotz update auf 3.5.6 (heute) und etlichen neustarten nicht mehr als mein standardbrowser einrichten Und bzgl. Verhalten des pc fällt mir ein, dass schon ewig das diskettenlaufwerk zwischendurch immer mal rappelt, wie beim neustart. – und auch nicht nur beim check von kaspersky. Ausserdem öffnet sich der einwahlassistent meines providers manchmal unvermittelt. Will dir nicht noch mehr aufhalsen- denke nur, dass evtl. manche dinge zusammenhängen, und ich damit hinweise geben kann. :-) und hier noch die extra.txt Code:
ATTFilter
OTL Extras logfile created on: 17.12.2009 18:23:46 - Run 1
OTL by OldTimer - Version 3.1.17.0 Folder = C:\Dokumente und Einstellungen\xxx Online\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
511,48 Mb Total Physical Memory | 302,25 Mb Available Physical Memory | 59,09% Memory free
1,22 Gb Paging File | 0,92 Gb Available in Paging File | 75,34% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 34,08 Gb Free Space | 45,74% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: NERD
Current User Name: xxx Online
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.chm [@ = chm.file] -- "%SYSTEMROOT%\hh.exe" %1
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
chm.file [open] -- "%SYSTEMROOT%\hh.exe" %1
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "%programfiles%\internet explorer\iexplore.exe"
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
"" =
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Orbitdownloader\orbitdm.exe" = C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit -- (Orbitdownloader.com)
"C:\Programme\Orbitdownloader\orbitnet.exe" = C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit -- (Orbitdownloader.com)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service -- (SiSoftware)
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\WNt500x86\RpcSandraSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service -- (SiSoftware)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04E1BD4E-7256-4C6D-8BEF-585827B10FF6}" = Sony Sound Forge 9.0
"{06A1BE8A-4CA4-4A39-B9E4-E815AA8FE05C}" = Sony Noise Reduction Plug-In 2.0h
"{0711500B-9912-4D60-9A49-C577B4503D42}" = Nero Recode Help
"{07FF7593-9DEA-40B5-9F87-F557E65BBF60}" = Nero Recode
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{1122AAC4-AAAA-43BF-B2D4-3C8C12378952}" = Nero InfoTool
"{11A84FCA-C3C7-4AFD-A797-111DB8569DBC}" = Nero BurningROM
"{12345674-DE9A-677A-CCEE-666356D89777}" = Nero BurnRights
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{16664a15-77d6-4a0c-bb71-33589d9ef7b3}" = Nero 9
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1A3E23D7-7A1E-43EC-B35D-EB8A31BED943}" = FinalBurner Free v2.11.0.156
"{1B040683-C390-4711-ABC7-DA8D85E470E7}" = NeroBurningROM
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{2D3455A8-3B15-41A8-99F8-0D4215746463}" = Nero StartSmart
"{3097B151-1F61-4211-A4CC-D70127B226AE}" = SoundTrax
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3F30CC51-0788-487B-AA83-7214A239C0C0}" = Nero Disc Copy Gadget Help
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4D42353B-533F-4306-AD0B-7FEF292ADE04}" = Nero CoverDesigner Help
"{4E8C27C2-D727-4C00-A90E-C3F6376EEE70}" = Nero ControlCenter
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{548F99E0-14CC-4D53-A7D6-4A62A5F2C748}" = Nero PhotoSnap
"{56BE5CC9-95E6-4128-ABEA-968414CA9C80}" = DolbyFiles
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A62A775-A29A-4CE1-BBC2-4A9CD0B211EF}" = Nero Live Help
"{5AE12194-3EAA-40DF-B2BF-FE1D6B78BBF4}" = Nero Vision
"{5C2E8A0F-80E2-4C68-8CC0-D8D16E7196BF}" = Nero RescueAgent Help
"{5C42EAB8-54F9-423A-948C-1CBEF25F8DB4}" = Nero PhotoSnap Help
"{5C9BB0B3-E830-4814-BBA4-D93535E1C7B9}" = Nero Live
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{5FCCD531-1B38-4A94-924C-127F722F1031}" = Nero 8
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{70C592EC-AE9B-4734-928B-676E824FB41E}" = MFC RunTime files
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{75321954-2589-11DC-DDCC-E98356D81493}" = Nero DriveSpeed
"{753973C4-B961-43BF-B2D4-3C8C92F7216E}" = Nero DriveSpeed
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{78523651-D8B1-11DC-CCEE-741589645873}" = Nero DiscSpeed
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8C654BD0-1949-43DE-84F2-EC2A1ABB0CB4}" = Nero ShowTime
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{943CC0C0-2253-4FE0-9493-DD386F7857FD}" = Nero Express
"{948FFAAE-C57F-447B-9B07-3721E950BFDC}" = Nero ShowTime
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{961D53EA-40DC-4156-AD74-25684CE05F81}" = Nero Installer
"{9A875B56-A35C-46BA-A3AA-DF8D03EE9F2F}" = Nero ControlCenter
"{9F3523F8-DAD7-AE52-6DA7-45CDDDF33726}" = Advertising Center
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A73BEC3C-40A0-480E-87EF-EFCD33629088}" = NeroExpress
"{A8399F58-234A-48C6-BA55-30C15738BF3C}" = Nero CoverDesigner
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAA12554-2589-11DC-92EF-E98356D81493}" = Nero InfoTool
"{AABBCC54-D8B1-11DC-92EF-E98356D81493}" = Nero DiscSpeed
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AB67580-257C-45FF-B8F4-C8C30682091A}_is1" = SIW version 2008-12-16
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{AD7FC27B-519A-48CB-B996-71A1B367F751}" = Ligos Indeo® Codecs
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2C12C8D-65DC-40BD-B309-5ADB0C6C8D8F}" = Nero WaveEditor
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B96C2601-52F5-4D5D-816A-63469EA311EF}" = "Nero SoundTrax Help
"{BCD82AB5-670D-4242-90FA-1F97103C16CD}" = Movie Templates - Starter Kit
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2196}_is1" = SiSoftware Sandra Lite 2009.SP4
"{C774410D-3EF9-4DE7-AC01-332613163ECF}" = Kaspersky Security Suite CBE
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C99C89A3-119A-45E6-B26E-DD5643CAA0C5}" = Menu Templates - Starter Kit
"{CA83357B-931E-44DC-AD43-9996FEEB8116}" = Acronis True Image
"{CD1826A5-CFCC-4C6E-9F9D-E181876162EA}" = Nero Rescue Agent
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B8}" = WinZip 12.1
"{D642E38E-0D24-486C-9A2D-E316DD696F4B}" = Microsoft XML Parser
"{D7C206B6-1A63-4389-A8B1-8F607D0BFF1F}" = Nero StartSmart Help
"{E4A8DD87-A746-4443-BF25-CAF99CED6767}" = Nero Disc Copy Gadget
"{E86156E5-9859-440D-8876-26CED1349802}" = Nero WaveEditor Help
"{E9E4BB29-FA98-401B-9EDE-9906906E33DE}" = Paragon Festplatten Manager 8.5 Personal
"{EA9FFE54-D8B1-11DC-92EF-E98356D81493}" = Nero BurnRights
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F53F6769-AC46-49E3-ABE3-2C8AFD39D0DD}" = Nero Vision
"{F7E1CA14-B39D-452A-960B-39423DDDD933}" = DriveImage XML (Private Edition)
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Alcatech BPM Studio Professional v4.9.1" = Alcatech BPM Studio Professional v4.9.1
"AnyDVD" = AnyDVD
"AVI Splitter_is1" = AVI Splitter
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.3
"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6
"CCleaner" = CCleaner
"CDex" = CDex extraction audio
"ClamWin Free Antivirus_is1" = ClamWin Free Antivirus 0.95.3
"CloneCD" = CloneCD
"CloneDVD2" = CloneDVD2
"Device Driver and SIM Editor Program_is1" = SIM CARD Kits 1.0.13.0
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"ffdshow_is1" = ffdshow [rev 3054] [2009-08-04]
"Free Video Converter" = Free Video Converter
"Free WMA to MP3 Converter_is1" = Free WMA to MP3 Converter 1.08
"Game Jackal_is1" = Game Jackal v3.1.1.0 (32 bit)
"HaaliMkx" = Haali Media Splitter
"HD Tune_is1" = HD Tune 2.55
"HijackThis" = HijackThis 2.0.2
"InstallWIX_{C774410D-3EF9-4DE7-AC01-332613163ECF}" = Kaspersky Security Suite CBE
"MAGIX music maker V2000" = MAGIX music maker V2000
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.5)" = Mozilla Firefox (3.5)
"MPEG4E" = MPEG4E VFW - H.264/MPEG-4 AVC codec (remove only)
"Nero - Burning Rom" = Nero - Burning Rom
"NetCologne" = NetCologne-Installationsdateien entfernen
"NetCologne NetDSL" = NetCologne NetDSL-Installationsdateien entfernen
"Orbit_is1" = Orbit Downloader
"ProtectDisc Driver 10" = ProtectDisc Helper Driver 10
"RealPlayer 6.0" = RealPlayer
"SpeedFan" = SpeedFan (remove only)
"TeamViewer 4" = TeamViewer 4
"Unlocker" = Unlocker 1.8.7
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"Virtualdub 1.4.9" = Virtualdub 1.4.9
"VLC media player" = VLC media player 1.0.3
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.6
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"Zattoo" = Zattoo 3.3.2 Beta
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Mozilla Firefox (3.5.1)" = Mozilla Firefox (3.5.1)
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 19.11.2009 14:49:15 | Computer Name = NERD | Source = .NET Runtime | ID = 0
Description =
Error - 19.11.2009 18:37:16 | Computer Name = NERD | Source = .NET Runtime | ID = 0
Description =
Error - 21.11.2009 06:09:03 | Computer Name = NERD | Source = .NET Runtime | ID = 0
Description =
Error - 21.11.2009 10:47:53 | Computer Name = NERD | Source = .NET Runtime | ID = 0
Description =
Error - 21.11.2009 19:01:54 | Computer Name = NERD | Source = .NET Runtime | ID = 0
Description =
Error - 23.11.2009 21:41:09 | Computer Name = NERD | Source = MsiInstaller | ID = 10005
Description = Produkt: Windows Live Communications Platform -- Bei der Installation
dieses Pakets ist ein unerwarteter Fehler aufgetreten. Es liegt eventuell ein das
Paket betreffendes Problem vor. Der Fehlercode ist 2762. Argumente: , ,
Error - 23.11.2009 21:41:09 | Computer Name = NERD | Source = MsiInstaller | ID = 10005
Description = Produkt: Windows Live Communications Platform -- Bei der Installation
dieses Pakets ist ein unerwarteter Fehler aufgetreten. Es liegt eventuell ein das
Paket betreffendes Problem vor. Der Fehlercode ist 2762. Argumente: , ,
Error - 23.11.2009 21:55:37 | Computer Name = NERD | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul wininet.dll, Version 6.0.2900.5512, Fehleradresse 0x00005508.
Error - 15.12.2009 21:10:42 | Computer Name = NERD | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul wininet.dll, Version 6.0.2900.5512, Fehleradresse 0x00005508.
Error - 16.12.2009 22:49:58 | Computer Name = NERD | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3593, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x0001b1fa.
[ System Events ]
Error - 17.12.2009 12:12:21 | Computer Name = NERD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASPI32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 17.12.2009 12:12:55 | Computer Name = NERD | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Lbd
Error - 17.12.2009 12:35:55 | Computer Name = NERD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASPI32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 17.12.2009 12:36:38 | Computer Name = NERD | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Lbd
Error - 17.12.2009 12:41:37 | Computer Name = NERD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASPI32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 17.12.2009 12:42:14 | Computer Name = NERD | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Lbd
Error - 17.12.2009 12:49:00 | Computer Name = NERD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASPI32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 17.12.2009 12:49:37 | Computer Name = NERD | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Lbd
Error - 17.12.2009 12:55:04 | Computer Name = NERD | Source = Service Control Manager | ID = 7000
Description = Der Dienst "ASPI32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 17.12.2009 12:55:44 | Computer Name = NERD | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Lbd
< End of report >
|
|
17.12.2009, 16:04
| #3 |
| | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A ist das die datenträgerüberprüfung? dann ja, vor zwei tagen in etwa, glaube ich, hat der pc automatisch beim neustart alles geprüft, weil bei einem virenscan- ich glaube drweb? defekte 2 dateien/verzeichnisse? angezeigt wurden.
__________________Code:
ATTFilter
armmf.adobe.com
ich war erst skeptisch und dann dachte ich , das kommt von der installation des aktuellen adobe readers, da die meldung neu ist...  super-anti hat auch reaktion ausgelöst: Code:
ATTFilter
16.12.2009 20:20:05 Prozess C:\Programme\SUPERAntiSpyware\2ae42daa-52e2-4b9b-9558-8d917d7ae1f2.exe (PID: 3416): Versuch zur Ausführung von verdächtigen Aktionen wurde erlaubt.
hier mal ein auszug der neuesten kaspersky-meldungen.: Code:
ATTFilter
17.12.2009 02:15:09 Prozess C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (PID 428) wurde erfolgreich abgeschlossen.
17.12.2009 02:15:09 Fehler beim Verschieben von C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe in die Quarantäne (Zugriff ist verboten oder Objekt wurde nicht gefunden)
17.12.2009 02:15:10 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
17.12.2009 02:15:15 Der Versuch von Prozess mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 02:15:15 Der Versuch von Prozess mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 02:27:40 Der Versuch von Prozess mit PID 1928 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 02:34:51 Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).
17.12.2009 02:34:51 Datei C:\WINDOWS:45203195861BE07A wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.
17.12.2009 02:34:51 Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).
17.12.2009 02:34:54 Datei C:\WINDOWS:45203195861BE07A wird beim Neustart des Computers gelöscht werden.
17.12.2009 02:57:36 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35
17.12.2009 03:50:08 Der Versuch von Prozess mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 03:50:08 Der Versuch von Prozess mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 15:11:27 Schutz des Computers ist aktiv.
17.12.2009 15:11:34 Der Versuch von Prozess mit PID 1856 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 15:11:41 Der Versuch von Prozess mit PID 916 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 15:22:51 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 221.130.140.18. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 15:22:51
17.12.2009 15:23:11 Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).
und ein und die selbe (u.a.) adresse wird von kaspersky häufig gemeldet: Code:
ATTFilter
17.12.2009 02:57:36 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35
weiss nicht, ob das hilft, dachte ich poste es mal... alles weitere wieder nur nach anweisung  |
|
17.12.2009, 16:21
| #4 |
| /// Selecta Jahrusso   | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A schritt 1 Öffne Kaspersky. Klicke auf "Einstellungen", "Service" und auf "Erweitert". Entferne das Häkchen (ganz links/unter "Anzeige") bei "Erkennung von Netzwerkangriffen". Klicke auf "OK", auf "Übernehmen" und auf "OK". Diese Lücke wurde von MS schon sehr lange gefixt. schritt 2 Lösche unter C:\ die Ordner Found.001 und 000 schritt 3 Deinstalliere SuperAntiSpyware. schritt 4 Scripten mit Combofix
Code:
ATTFilter KillAll::
ADS::
C:\WINDOWS:45203195861BE07A
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. schritt 5 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
17.12.2009, 16:32
| #5 |
| | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A statt: "Erkennung von Netzwerkangriffen". finde ich unter ANSICHT nur: "ereignisbenachrichtigung aktivieren" kann es das sein? 'schulligung- habs doch gefunden. erkennen von netzwerkangriffen. haken raus bei anzeige und ton. bei deinstallation von super freeware sind zwei seltsame sachen passiert: 1. fenster öffnet sich: close the following application before continuing install: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A\trojaner-board\mozilla firefox (wiedergabe nicht 100% korrekt) daraufhin habe ich firefox geschlossen. dann öffneten sich plötzlich 2 ie -fenster und kaspersky meldet alarm: 17.12.2009 16:46:39 Die Anwendung IEXPLORE.EXE wurde verändert entweder wurde sie verändert, oder ist infiziert. ich habe den zugriff verweigert, und die fenster geschlossen. lt CCleaner ist super freeware deinstalliert. Geändert von madz (17.12.2009 um 16:54 Uhr) |
|
17.12.2009, 16:33
| #6 |
| /// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Ich hab die Anleitung selber gegooglet. Ich hab keine Ahnung von Kas 
__________________ --> Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A |
|
| Themen zu Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A |
| administrator, alles gelöscht, anti-malware, c:\windows, cdburnerxp, code, dateien, file, gelöscht, gservice, hidden object, hkus\s-1-5-18, image, kaspersky, locker, meldung, microsoft, modifikation, neue, neustart, object, online, plug-in, problem, programme, registrierungsschlüssel, rogue.installer, scan, security, security suite, service, software, version, windows |
Hybrid-Darstellung
