Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.05.2010, 11:21   #1
Maida
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Guten Tag zusammen,

letzte Woche Freitag schlug Avira plötzlich Alarm, meldete auf meinem Bürorechner den Fund von TR/Buzus.ealr. Ständig öffneten sich irgendwelche Werbepopups in IE, obwohl ich mit Firefox arbeite.

Am Tag zuvor fiel mir auf, dass ICQ ständig dafür sorgte, dass mein Rechner "hängenblieb", die Maus reagierte nicht mehr, wohl aber die Tastatur. Sobald ich Strg-Alt-Entf. drückte, reagierte auch die Maus wieder.

Die Googlesuche half nicht weiter, ich führte CCCleaner und Malwarebytes aus, löschte gefundene Malware und schließlich wurden mir keine neuen Funde mehr angezeigt.

Heute bin ich nun zum ersten Mal seit Freitag wieder im Büro, und ständig schlägt Avira wieder Alarm. Jetzt ist es nicht mehr TR/Buzus.ealr, der gefunden wird, sondern TR/Fake.CX.172544 und TR/Fake.bpp.174592. Zusätzlich befinden sich zwei Dateien in der Quarantäne, die "das Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen" enthalten.
Ich hoffe, dass sich die Trojaner nicht durchs Netzwerk bewegen, sonst haben wir ein Problem... Auf meinen Rechner hat niemand von einem anderen Rechner zugegriffen, auch griff von meinem Rechner niemand auf einen anderen PC zu.

Vielen Dank im Voraus für die Hilfe!


TR/Buzus.ealr
Quelle: C:\System Volume Information\_restore{9A32A280-0117-40BB-BEEA-AE47E9E6B2E9}\RP710\A0078683.exe

TR/Fake.CX.172544
Quellen:
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Vhg.exe
- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100518-104811-BC791698\ARK4.tmp

Antivir Ereignisse:
  • Die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100518-104811-BC791698\ARK4.tmp'
    enthielt einen Virus oder unerwünschtes Programm 'TR/Fake.CX.172544' [trojan].
    Durchgeführte Aktion(en):
    Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich entfernt.
    Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
    Die Datei konnte nicht gelöscht werden!
    Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56f3d3a6.qua' verschoben!
    Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> konnte nicht entfernt werden.

TR/Fake.bpp.174592
Quellen:
- C:\WINDOWS\Vbimua.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Vhf.exe

Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
Quelle:
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N5XNHIN8\searchx[3].txt

Hierzu ist in den Ereignissen Folgendes verzeichnet:
  • In der Datei 'C:\Dokumente und Einstellungen\APOTHEKE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N5XNHIN8\searchx[3].txt'
    wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
    Ausgeführte Aktion: Zugriff verweigern
  • Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N5XNHIN8\searchx[3].txt'
    enthielt einen Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus].
    Durchgeführte Aktion(en):
    Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
    Die Datei konnte nicht gelöscht werden!
    Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '569ddcf7.qua' verschoben!



Malwarebytes Logdateien vom 14.05.:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.05.2010 21:48:11
mbam-log-2010-05-14 (21-48-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 122924
Laufzeit: 4 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully.

-----------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.05.2010 21:56:28
mbam-log-2010-05-14 (21-56-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 122805
Laufzeit: 4 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Malwarebytes Logdateien von heute
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.05.2010 10:59:23
mbam-log-2010-05-18 (10-59-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 123077
Laufzeit: 6 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

----------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4111

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.05.2010 11:23:45
mbam-log-2010-05-18 (11-23-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125885
Laufzeit: 4 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.





Code:
ATTFilter
OTL logfile created on: 18.05.2010 11:27:07 - Run 1
OTL by OldTimer - Version 3.2.4.1     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 273,51 Gb Free Space | 91,76% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 955,72 Mb Total Space | 941,69 Mb Free Space | 98,53% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
Drive H: | 995,36 Mb Total Space | 951,69 Mb Free Space | 95,61% Space Free | Partition Type: FAT
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\StarMoney Business 4.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\CA\eTrustITM\InoTask.exe (CA)
PRC - C:\Programme\CA\SharedComponents\ScanEngine\ITMDist.exe (CA)
PRC - C:\Programme\CA\eTrustITM\InoRPC.exe (CA)
PRC - C:\Programme\CA\eTrustITM\InoRT.exe (CA)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\WINDOWS\system32\WgaTray.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (SafeNet, Inc)
PRC - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (SafeNet, Inc.)
PRC - C:\WINDOWS\hcwemMON.exe (eMPIA Technology, Inc.)
PRC - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe (CA, Inc.)
PRC - C:\Programme\CA\eTrustITM\Realmon.exe (CA)
PRC - C:\WINDOWS\system32\PSIService.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe (Microsoft Corporation)
PRC - C:\Programme\Canon Electronics\DR2580C\JobReader.exe (Canon Electronics Inc.)
PRC - C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Program Files\Real\RealPlayer\rpchromebrowserrecordhelper.dll ()
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcr71.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (StarMoney Business 4.0 OnlineUpdate) -- C:\Programme\StarMoney Business 4.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (InoTask) -- C:\Programme\CA\eTrustITM\InoTask.exe (CA)
SRV - (InoRPC) -- C:\Programme\CA\eTrustITM\InoRpc.exe (CA)
SRV - (InoRT) -- C:\Programme\CA\eTrustITM\InoRT.exe (CA)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe ()
SRV - (SentinelProtectionServer) -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (SafeNet, Inc)
SRV - (SentinelKeysServer) -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (SafeNet, Inc.)
SRV - (iGateway) -- C:\Programme\CA\SharedComponents\iTechnology\igateway.exe (CA, Inc.)
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (INO_FLTR) -- C:\WINDOWS\system32\drivers\ino_fltr.sys (Computer Associates)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (INO_FLPY) -- C:\WINDOWS\system32\Drivers\ino_flpy.sys (Computer Associates)
DRV - (FETNDISB) -- C:\WINDOWS\system32\drivers\dlkfet5b.sys (D-Link                              )
DRV - (Sentinel) -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS (SafeNet, Inc.)
DRV - (USB28xxBGA) -- C:\WINDOWS\system32\drivers\emBDA.sys (eMPIA Technology, Inc.)
DRV - (USB28xxOEM) -- C:\WINDOWS\system32\drivers\emOEM.sys (eMPIA Technology, Inc.)
DRV - (ADIHdAudAddService) -- C:\WINDOWS\system32\drivers\ADIHdAud.sys (Analog Devices, Inc.)
DRV - (SenFiltService) -- C:\WINDOWS\system32\drivers\senfilt.sys (Sensaura)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (InAspi32) -- C:\WINDOWS\system32\drivers\InAspi32.sys (Initio Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = h**p://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.qip.ru/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.250.150:3128
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "QIP Search"
FF - prefs.js..browser.search.defaulturl: "h**p://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "w**w.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.6.8
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.5.4.20081105
FF - prefs.js..extensions.enabledItems: {32a1fd71-835e-4b11-8e54-886fda0b4c89}:1.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..keyword.URL: "h**p://search.qip.ru/search?from=FF&query="
FF - prefs.js..network.proxy.ftp: "192.168.250.150"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.250.150"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.250.150"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.250.150"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "192.168.250.150"
FF - prefs.js..network.proxy.ssl_port: 3128
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2009.03.25 12:06:57 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.11 13:47:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.11 16:40:26 | 000,000,000 | ---D | M]
 
[2008.08.26 13:01:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.05.18 11:01:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions
[2010.05.11 13:47:42 | 000,000,000 | ---D | M] (QipAuthorizer) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}
[2010.03.18 12:55:14 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.05.01 21:52:15 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.13 12:23:29 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2008.07.14 20:10:37 | 000,001,459 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\dictcc-ende.xml
[2009.07.16 11:55:47 | 000,004,855 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\google-images.xml
[2010.05.11 13:49:36 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\icqplugin-1.xml
[2009.03.29 12:38:18 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\icqplugin-5.xml
[2008.07.10 14:07:28 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\icqplugin.xml
[2009.07.21 16:10:20 | 000,001,748 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\leo-deu-fra.xml
[2008.07.02 21:59:25 | 000,001,077 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\wiktionary-de.xml
[2008.09.26 14:21:05 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\woerterbuchinfo-synonyme.xml
[2009.04.02 08:44:13 | 000,004,140 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\searchplugins\youtube.xml
[2010.05.18 11:01:57 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2007.08.01 12:01:37 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.01.26 11:55:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.05.11 16:40:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2007.03.05 14:59:06 | 000,645,504 | ---- | M] (Microsoft Corporation) -- C:\Programme\Mozilla Firefox\plugins\npOGAPlugin.dll
[2006.07.31 17:07:16 | 000,098,304 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
[2010.02.26 00:14:08 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.02.26 00:14:08 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.02.26 00:14:08 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.02.26 00:14:08 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.02.26 00:14:08 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (SnagIt Toolbar Loader) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\Snagit 9\SnagitBHO.dll (TechSmith Corporation)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (QIPBHO Class) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Snagit) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\Snagit 9\SnagitIEAddin.dll (TechSmith Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CANON DR2580C SVC] C:\WINDOWS\System32\DR25SVC.dll (Canon Electronics)
O4 - HKLM..\Run: [DR-2580CJobReader] C:\Programme\Canon Electronics\DR2580C\JobReader.exe DR2580C.dll File not found
O4 - HKLM..\Run: [HCWemmon] C:\WINDOWS\hcwemMON.exe (eMPIA Technology, Inc.)
O4 - HKLM..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe ()
O4 - HKLM..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe (RICOH CO.,LTD.)
O4 - HKLM..\Run: [PPort11reminder] C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [Realtime Monitor] C:\Programme\CA\eTrustITM\realmon.exe (CA)
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Microsoft Office Outlook.lnk = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O15 - HKCU\..Trusted Domains: localhost ([]http in Lokales Intranet)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} h**p://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185292136562 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} h**p://games.bigfishgames.com/de_dinerdashfloontheg/online/ddfotg.1.0.0.33.cab (CPlayFirstddfotgControl Object)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} h**p://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.07.24 15:47:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.05.18 11:17:11 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.05.18 11:15:20 | 000,571,392 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.05.11 20:13:21 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.1
[2010.05.11 20:01:47 | 000,000,000 | ---D | C] -- C:\Programme\Trillian
[2010.05.11 16:40:25 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.05.11 16:40:25 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.05.11 16:40:25 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.05.11 16:40:25 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.05.11 13:48:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\QIP
[2010.04.29 00:29:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\gegl-0.0
[2010.04.27 18:47:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\PreviewSoft
[2010.04.27 18:47:21 | 001,056,768 | ---- | C] (Blue Sky Software Corporation.) -- C:\WINDOWS\System32\ROBOEX32.DLL
[2010.04.27 18:47:21 | 000,049,152 | ---- | C] (Blue Sky Software Corporation.) -- C:\WINDOWS\System32\INETWH32.dll
[2010.04.27 18:47:21 | 000,000,000 | ---D | C] -- C:\Programme\Ulead Systems
[2010.04.27 18:46:19 | 000,000,000 | ---D | C] -- C:\Programme\PhotoScape
[2010.04.27 18:45:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Photo Flash Maker Free Version
[2010.04.27 18:45:02 | 000,000,000 | ---D | C] -- C:\Programme\AnvSoft Photo Flash Maker Free Version
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.05.18 11:27:11 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.18 11:26:06 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.18 11:25:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.18 11:24:53 | 007,602,176 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.dat
[2010.05.18 11:24:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.05.18 11:15:21 | 000,571,392 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.05.18 11:01:59 | 000,000,398 | ---- | M] () -- C:\WINDOWS\tasks\AvP.job
[2010.05.18 10:58:00 | 000,001,220 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-842925246-839522115-1003UA.job
[2010.05.14 20:06:21 | 000,000,736 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.05.14 20:06:21 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.05.14 20:06:21 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.05.12 16:58:00 | 000,001,168 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-842925246-839522115-1003Core.job
[2010.05.12 12:03:07 | 000,000,118 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2010.05.11 21:36:51 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.05.11 21:15:10 | 000,000,462 | -H-- | M] () -- C:\WINDOWS\System32\ws344069.ocx
[2010.05.11 21:15:10 | 000,000,449 | -H-- | M] () -- C:\os466477.bin
[2010.05.11 21:15:09 | 000,000,326 | ---- | M] () -- C:\WINDOWS\ULead32.ini
[2010.05.11 18:28:15 | 000,001,734 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Default.rdp
[2010.05.11 18:12:17 | 000,011,124 | ---- | M] () -- C:\WINDOWS\setscan.ini
[2010.05.05 20:24:59 | 000,000,030 | ---- | M] () -- C:\WINDOWS\Iedit_.INI
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.29 00:33:22 | 000,000,885 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.04.29 00:29:20 | 000,000,778 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GIMP 2.lnk
[2010.04.28 21:21:29 | 000,002,505 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Excel.lnk
[2010.04.27 19:01:54 | 000,004,808 | ---- | M] () -- C:\WINDOWS\System32\gaeffect.sti
[2010.04.27 19:01:54 | 000,003,176 | ---- | M] () -- C:\WINDOWS\System32\gafilter.sti
[2010.04.27 18:47:23 | 000,001,597 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ulead GIF Animator 5.lnk
[2010.04.27 18:46:27 | 000,000,678 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\PhotoScape.lnk
[2010.04.27 18:45:12 | 000,000,857 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Photo Flash Maker Free.lnk
[2010.04.19 10:21:44 | 000,029,184 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\*** BM ERF 2009_2010.xls
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.12 12:03:07 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2010.04.29 00:33:22 | 000,000,885 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.04.29 00:29:20 | 000,000,778 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GIMP 2.lnk
[2010.04.27 19:01:54 | 000,004,808 | ---- | C] () -- C:\WINDOWS\System32\gaeffect.sti
[2010.04.27 19:01:54 | 000,003,176 | ---- | C] () -- C:\WINDOWS\System32\gafilter.sti
[2010.04.27 19:01:52 | 000,000,462 | -H-- | C] () -- C:\WINDOWS\System32\ws344069.ocx
[2010.04.27 19:01:52 | 000,000,449 | -H-- | C] () -- C:\os466477.bin
[2010.04.27 18:47:23 | 000,001,597 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ulead GIF Animator 5.lnk
[2010.04.27 18:46:27 | 000,000,678 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\PhotoScape.lnk
[2010.04.27 18:45:12 | 000,000,857 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Photo Flash Maker Free.lnk
[2010.04.19 09:45:00 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\*** BM ERF 2009_2010.xls
[2010.01.26 12:50:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Vcdem32p.INI
[2010.01.26 12:49:49 | 000,005,203 | ---- | C] () -- C:\WINDOWS\pixcache.ini
[2010.01.26 11:31:34 | 000,032,031 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010.01.26 10:39:18 | 000,000,702 | ---- | C] () -- C:\WINDOWS\kofax200.ini
[2010.01.26 10:39:13 | 000,011,124 | ---- | C] () -- C:\WINDOWS\setscan.ini
[2010.01.26 10:34:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\WnASPI32.dll
[2009.09.30 14:53:25 | 000,000,226 | ---- | C] () -- C:\WINDOWS\PMJobCli.ini
[2009.09.30 14:53:23 | 000,012,358 | ---- | C] () -- C:\WINDOWS\PMRicMb.ini
[2009.09.30 14:53:23 | 000,006,702 | ---- | C] () -- C:\WINDOWS\PMRicPMb.ini
[2009.09.30 14:53:23 | 000,005,390 | ---- | C] () -- C:\WINDOWS\PMPrtMb.ini
[2009.09.30 14:53:23 | 000,004,303 | ---- | C] () -- C:\WINDOWS\PMRicFMb.ini
[2009.09.30 14:53:23 | 000,003,005 | ---- | C] () -- C:\WINDOWS\PMDvPrn.ini
[2009.09.30 14:53:23 | 000,002,102 | ---- | C] () -- C:\WINDOWS\PMDvDev.ini
[2009.09.30 14:53:23 | 000,002,047 | ---- | C] () -- C:\WINDOWS\PMDIOMb.ini
[2009.09.30 14:53:23 | 000,002,036 | ---- | C] () -- C:\WINDOWS\PMHostMb.ini
[2009.09.30 14:53:23 | 000,001,885 | ---- | C] () -- C:\WINDOWS\PMPSIOMb.ini
[2009.09.30 14:53:23 | 000,001,727 | ---- | C] () -- C:\WINDOWS\PMRicSMb.ini
[2009.09.30 14:53:23 | 000,001,706 | ---- | C] () -- C:\WINDOWS\PMRicCMb.ini
[2009.09.30 14:53:23 | 000,001,494 | ---- | C] () -- C:\WINDOWS\PMMib2Mb.ini
[2009.09.30 14:53:23 | 000,001,143 | ---- | C] () -- C:\WINDOWS\PMDPIMb.ini
[2009.09.30 14:53:23 | 000,001,110 | ---- | C] () -- C:\WINDOWS\PMDvFax.ini
[2009.09.30 14:53:23 | 000,001,094 | ---- | C] () -- C:\WINDOWS\PMAxsMb.ini
[2009.09.30 14:53:23 | 000,000,842 | ---- | C] () -- C:\WINDOWS\PMDvScan.ini
[2009.09.30 14:53:23 | 000,000,423 | ---- | C] () -- C:\WINDOWS\PMDvCopy.ini
[2009.09.30 14:53:23 | 000,000,332 | ---- | C] () -- C:\WINDOWS\PMSnmpMb.ini
[2009.09.30 14:53:18 | 000,376,832 | ---- | C] () -- C:\WINDOWS\System32\rpnv2ui.dll
[2009.09.30 14:53:18 | 000,176,128 | ---- | C] () -- C:\WINDOWS\System32\rtcpf.dll
[2009.09.30 14:53:18 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RLPR.dll
[2009.09.30 14:53:15 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\PMObservps.dll
[2009.08.03 15:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2009.04.21 21:05:04 | 000,062,464 | ---- | C] () -- C:\WINDOWS\System32\Mod32.dll
[2009.04.21 21:05:03 | 000,574,976 | ---- | C] () -- C:\WINDOWS\System32\HEKRNL32.DLL
[2009.04.21 21:05:03 | 000,225,792 | ---- | C] () -- C:\WINDOWS\System32\IMGMAN30.DLL
[2009.04.21 21:05:03 | 000,187,392 | ---- | C] () -- C:\WINDOWS\System32\HEICON32.DLL
[2009.04.21 21:05:03 | 000,155,136 | ---- | C] () -- C:\WINDOWS\System32\HEMENU32.DLL
[2009.04.21 21:05:03 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\HEDLG32.DLL
[2009.04.21 21:05:03 | 000,067,072 | ---- | C] () -- C:\WINDOWS\System32\HERTF32.DLL
[2009.04.21 21:05:03 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\HETOOL32.DLL
[2009.04.01 22:19:31 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.03.28 09:37:34 | 000,000,326 | ---- | C] () -- C:\WINDOWS\ULead32.ini
[2009.03.17 03:40:38 | 000,000,030 | ---- | C] () -- C:\WINDOWS\Iedit_.INI
[2008.04.11 20:02:19 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.11.29 18:57:32 | 000,000,032 | ---- | C] () -- C:\WINDOWS\azeugnis.INI
[2007.10.30 21:02:51 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4864.dll
[2007.09.18 09:49:19 | 000,025,713 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2007.08.16 16:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll
[2007.08.09 00:19:19 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2007.08.03 20:00:26 | 000,032,835 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2007.08.03 19:58:23 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2007.08.03 19:57:29 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\hcwChDB.dll
[2007.08.03 19:56:26 | 000,002,201 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2007.08.03 19:49:06 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\bdadll.dll
[2007.08.03 19:49:02 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2007.08.01 12:21:36 | 000,000,521 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.08.01 09:00:01 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AVSST.dll
[2007.08.01 09:00:01 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\NTDosSSt.dll
[2007.07.25 15:05:30 | 000,052,862 | ---- | C] () -- C:\WINDOWS\ricdb.ini
[2007.07.25 15:05:29 | 000,000,038 | ---- | C] () -- C:\WINDOWS\System32\RPCS.ini
[2007.07.24 16:27:37 | 000,203,264 | ---- | C] () -- C:\WINDOWS\System32\msmparse.dll
[2007.07.24 16:27:36 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\scardsyn.dll
[2007.07.24 16:27:35 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\ctuninn.dll
[2007.07.24 16:27:35 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\ctdeutin.dll
[2007.07.24 16:27:35 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\ct32.dll
[2006.10.27 09:26:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2005.12.21 17:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll
[2005.12.21 17:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll
[2004.08.13 04:56:20 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2002.03.17 02:00:00 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000096.DLL
[1999.02.05 17:29:10 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\Avaspi32.dll
[1997.10.31 02:54:44 | 000,060,928 | ---- | C] () -- C:\WINDOWS\System32\DiIQDBNT.dll
[1997.06.02 18:08:34 | 000,060,712 | ---- | C] () -- C:\WINDOWS\System32\BUICISIS.DLL
[1994.09.30 15:34:54 | 000,011,934 | ---- | C] () -- C:\WINDOWS\System32\PIXPNR.DLL
[1994.09.30 15:34:52 | 000,012,126 | ---- | C] () -- C:\WINDOWS\System32\PIXPCZ.DLL
< End of report >
         




Code:
ATTFilter
OTL Extras logfile created on: 18.05.2010 11:27:07 - Run 1
OTL by OldTimer - Version 3.2.4.1     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 273,51 Gb Free Space | 91,76% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 955,72 Mb Total Space | 941,69 Mb Free Space | 98,53% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
Drive H: | 995,36 Mb Total Space | 951,69 Mb Free Space | 95,61% Space Free | Partition Type: FAT
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1 -- (ICQ, LLC.)
"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\instsrv.exe" = C:\WINDOWS\instsrv.exe:*:Enabled:eTrust Antivirus Remote Installation Program -- File not found
"C:\Programme\CA\eTrustITM\InoRpc.exe" = C:\Programme\CA\eTrustITM\InoRpc.exe:*:Enabled:eTrust ITM - RPC Service -- (CA)
"C:\Programme\CA\eTrustITM\Realmon.exe" = C:\Programme\CA\eTrustITM\Realmon.exe:*:Enabled:eTrust ITM - Realtime monitor -- (CA)
"C:\Programme\CA\eTrustITM\Shellscn.exe" = C:\Programme\CA\eTrustITM\Shellscn.exe:*:Enabled:eTrust ITM - Shell Scanner -- (CA)
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" = C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- File not found
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" = C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE:*:Enabled:WEB.DE MultiMessenger -- File not found
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe" = C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe:*:Enabled:Sentinel Protection Server -- (SafeNet, Inc)
"C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe" = C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe:*:Enabled:Sentinel Keys Server -- (SafeNet, Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\StarMoney Business 4.0\ouservice\StarMoneyOnlineUpdate.exe" = C:\Programme\StarMoney Business 4.0\ouservice\StarMoneyOnlineUpdate.exe:*:Enabled:StarMoney Business 4.0 OnlineUpdate -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\Programme\StarMoney Business 4.0\app\StarMoney.exe" = C:\Programme\StarMoney Business 4.0\app\StarMoney.exe:*:Enabled:StarMoney Business 4.0 -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1 -- (ICQ, LLC.)
"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{03F1CC67-5BD8-4C36-8394-76311B2AE69A}" = ArcSoft PhotoStudio 5
"{09AAA659-ACF9-47B3-B362-C216693C7A11}" = Canon DR-2580C Driver
"{107558C8-458B-45EA-A0FE-7CC10D687DB6}" = CA eTrustITM Agent
"{10A7B730-E9C8-4D53-A2F0-23B85ACB12A7}" = Gawis
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{14F3F3DD-E409-4043-B4BF-1D0C3C17A1AA}" = StarMoney
"{15803703-25FA-4C01-A062-3F4A59937E87}" = Ulead PhotoImpact X3
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2227E1FA-01F5-483C-AB0E-2A308E900B3D}" = InterVideo FilterSDK for Hauppauge
"{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}" = Adobe ExtendScript Toolkit 2
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 20
"{3282C901-275B-4023-AC3E-1EDB12F87F90}" = Kofax VRS Component Canon DR-2580C
"{32FF64CA-C08B-4A7B-8041-3FC26AA60C3C}" = DR-2580C Job Tool
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{43602F34-1AA3-44FB-AEB2-D08C2C73743F}" = Paint.NET v3.36
"{4733A394-F8D3-4394-857C-D9712386514E}" = ScanSoft PaperPort 11
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{57CDE0E7-0ECE-408B-B701-3CA6C13869FE}" = ScanSoft OmniPage SE 4
"{5A180ED5-0AC1-410A-B790-5E0319CD0A93}" = Sentinel Protection Installer 7.4.0
"{5C47C8B6-77FF-4FC7-A388-66FCF9CFC24C}" = Snagit 9.1.3
"{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}" = Adobe Setup
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6A0557CF-010B-4719-A086-C9BFAA562B38}" = StarMoney Business 4.0 
"{6A35E74B-68AD-4054-B93A-FEB7B687114C}" = Kofax VirtualReScan 4.20
"{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}" = Adobe Color Common Settings
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{837E620D-B93E-4D84-A753-BE1DBEB716B1}" = StarMoney
"{847501DF-07C0-4691-B04A-893929F108AE}" = CA iTechnology iGateway
"{86F4B795-EA3D-48BD-ADFA-DA44B39059F9}" = StarMoney
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8AF3E926-ED59-11D4-A44B-0000E86D2305}" = Ulead GIF Animator 5 Test
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{939740B5-0064-4779-854A-8C1086181C05}" = Macromedia FreeHand MXa
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-1033-F400-BA7E-000000000004}" = Adobe Acrobat  9 Standard - English, Français, Deutsch
"{AC76BA86-1033-F400-BA7E-000000000004}_932" = Adobe Acrobat 9.3.2 - CPSID_53951
"{AC76BA86-1033-F400-BA7E-000000000004}{AC76BA86-1033-F400-BA7E-000000000004}" = Adobe Acrobat  9 Standard - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.1 - Deutsch
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}" = Adobe Setup
"{B928B8C0-4876-4214-86D4-116CCD5C53B5}" = Caché in C:\AD\CacheActiveX2008
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C138D676-4F0F-4FDE-8BE5-26CFD3566DCD}" = SmartDeviceMonitor for Client
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D2F3B366-830E-4371-9130-A8D6BE751363}" = CapturePerfect 3.0
"{D5E1BC1D-5955-44D2-A5F2-6BFCA659DDA1}" = Kofax TWAIN Data Source
"{D6E4E5D6-7693-4BB4-95BA-21F38FAFEE90}" = Safari
"{DD304638-64D4-43C9-8B8F-48BE23564791}" = Presto! BizCard 5 SE (Deutsch Version)
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F439D7AF-03F3-4F8E-AEC4-571BFE977C61}" = iTunes
"{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Adobe_3e054d2218e7aa282c2369d939e58ff" = Adobe ExtendScript Toolkit 2
"Adobe_6c8e2cb4fd241c55406016127a6ab2e" = Adobe Color Common Settings
"AFPL Ghostscript 8.50" = AFPL Ghostscript 8.50
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"AnvSoft Photo Flash Maker Free" = AnvSoft Photo Flash Maker Free 5.10
"Arbeitszeugnis-Generator_is1" = Deinstallation Arbeitszeugnis-Generator
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DafueArbeitsplatzDeinstKey" = Dafue-Arbeitsplatz
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{15803703-25FA-4C01-A062-3F4A59937E87}" = Ulead PhotoImpact X3
"InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PDF-XChange PDF Viewer_is1" = PDF-XChange PDF Viewer
"PhotoScape" = PhotoScape
"PROHYBRIDR" = 2007 Microsoft Office system
"RealPlayer 6.0" = RealPlayer
"ST6UNST #1" = Mandant2
"ST6UNST #2" = Mandant2 (C:\Programme\***M2\)
"Ulead GIF Animator Lite Edition 1.0" = Ulead GIF Animator Lite Edition 1.0
"VeriSign i-Nav Email Components4.2.4" = VeriSign i-Nav Email Components
"VLC media player" = VLC media player 1.0.5
"VN_VUIns_Rhine_D-Link" = D-Link PCI Fast Ethernet Adapter
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.8
"WinGTK-2_is1" = GTK+ 2.10.13 runtime environment
"WinVNC" = WinVNC 3.3.3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.05.2010 00:00:14 | Computer Name = *** | Source = Google Update | ID = 20
Description = 
 
Error - 12.05.2010 01:00:14 | Computer Name = *** | Source = Google Update | ID = 20
Description = 
 
Error - 12.05.2010 06:20:50 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 14.05.2010 13:40:47 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 14.05.2010 13:49:42 | Computer Name = *** | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{bc271da8-39f8-11dc-ba23-806d6172696f},0xc0000000,0x00000003,...)".
 hr = 0x80070020.
 
Error - 14.05.2010 14:05:31 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 14.05.2010 15:51:22 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 15.05.2010 03:22:54 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.05.2010 04:46:32 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.05.2010 05:27:32 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ OSession Events ]
Error - 04.07.2008 07:30:27 | Computer Name = BUERO | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
 12.0.6300.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 12
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 12.11.2008 09:38:59 | Computer Name = BUERO | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
 12.0.6316.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 4
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 05.12.2008 13:20:30 | Computer Name = BUERO | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
 12.0.6316.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 1873
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 23.06.2009 09:36:14 | Computer Name = *** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 17
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 13.02.2010 09:35:57 | Computer Name = *** | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
 12.0.6514.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 278
 seconds with 240 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 18.05.2010 04:57:06 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek USB 2.0 Flash Disk USB Device nicht laden.
 
Error - 18.05.2010 05:01:00 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek SKYMEDI USB_DRIVE USB Device nicht laden.
 
Error - 18.05.2010 05:01:00 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek USB 2.0 Flash Disk USB Device nicht laden.
 
Error - 18.05.2010 05:01:04 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek SKYMEDI USB_DRIVE USB Device nicht laden.
 
Error - 18.05.2010 05:01:05 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek USB 2.0 Flash Disk USB Device nicht laden.
 
Error - 18.05.2010 05:05:39 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek USB 2.0 Flash Disk USB Device nicht laden.
 
Error - 18.05.2010 05:05:39 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek SKYMEDI USB_DRIVE USB Device nicht laden.
 
Error - 18.05.2010 05:05:43 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek USB 2.0 Flash Disk USB Device nicht laden.
 
Error - 18.05.2010 05:05:46 | Computer Name = *** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek SKYMEDI USB_DRIVE USB Device nicht laden.
 
Error - 18.05.2010 05:26:13 | Computer Name = *** | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >
         

Alt 18.05.2010, 15:48   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Hallo,

Zitat:
te Woche Freitag schlug Avira plötzlich Alarm, meldete auf meinem Bürorechner den Fund von TR/Buzus.ealr.
Was sagt denn die EDV dazu?
__________________

__________________

Alt 18.05.2010, 16:07   #3
Maida
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Im Moment glücklicherweise noch gar nichts.. wobei ich die firmenspezifischen Programme, die übers Netzwerk laufen, auch nicht (mehr) ausgeführt habe.
Auf dem ersten der anderen PCs hat Antivir nix gefunden... Ich fürchte, dass es ne lange Nacht wird und ich sämtliche Rechner checke.. oder aber: ^^

An meinem hübschen Arbeitsplatz hier hat Antivir schon immer mal wieder neu Alarm geschlagen, gibt seit gerade schon wieder nen neuen Trojaner:
Zitat:
Die Datei 'C:\System Volume Information\_restore{9A32A280-0117-40BB-BEEA-AE47E9E6B2E9}\RP706\A0077922.scr'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.eafw' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e7b0b58.qua' verschoben!
__________________

Alt 18.05.2010, 17:43   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Zitat:
Im Moment glücklicherweise noch gar nichts..
Bitte??! Wieso erzählst Du denen das nicht? Die EDV-Abteilung ist für solche Probleme zuständig oder löst Du jedes EDV-Problem im Büro?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.05.2010, 17:51   #5
Maida
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Ja, genau das.. ich bin sozusagen u.a. unsere EDV-Abteilung.


Alt 18.05.2010, 18:37   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Normalweise würde ich dazu raten, infizierte Bürorechner einfach zu formatieren und neu aufzusetzen. IdR hat man auch Images von Rechnern, Du aber bestimmt nicht oder?
Wenn Du in der EDV bist, bist Du mitverantwortlich für diesen Rechner und das gesamte Netzwerk....

Du kannst ja mal CF auf Dein System loslassen. Dass vorher alle relevanten Daten gesichert sind, sollte für Dich als EDV-Mensch selbstverständlich sein:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr

Alt 18.05.2010, 19:52   #7
Maida
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Zitat:
Wenn Du in der EDV bist, bist Du mitverantwortlich für diesen Rechner und das gesamte Netzwerk....
Das ist mir durchaus bewusst, genauere Hintergründe auszudiskutieren, würde ein bisschen zu weit führen.. Ich bin eh grad auf 180, weil ich ausbaden darf.. naja, egal...

Hab hier was für Dich

Code:
ATTFilter
ComboFix 10-05-16.06 - *** 18.05.2010  20:39:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1566 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\htmlres115_chs.dll
c:\windows\system32\htmlres115_cht.dll
c:\windows\system32\htmlres115_de.dll
c:\windows\system32\htmlres115_en.dll
c:\windows\system32\htmlres115_es.dll
c:\windows\system32\htmlres115_fr.dll
c:\windows\system32\htmlres115_it.dll
c:\windows\system32\htmlres115_jp.dll
c:\windows\system32\htmlres115_ko.dll
c:\windows\system32\htmlres115_nl.dll
c:\windows\system32\htmlres115_pl.dll
c:\windows\system32\htmlres115_pt.dll
c:\windows\system32\htmlres115_ru.dll
c:\windows\system32\htmlres115_sv.dll
c:\windows\system32\libOCAHelper-3-1.dll
c:\windows\system32\libOCAHelperw-3-1.dll
c:\windows\system32\libOCASecurityw-2-0.dll
c:\windows\system32\nsclient115.dll
c:\windows\system32\nsclient115w.dll
c:\windows\system32\stringres115_chs.dll
c:\windows\system32\stringres115_cht.dll
c:\windows\system32\stringres115_de.dll
c:\windows\system32\stringres115_en.dll
c:\windows\system32\stringres115_es.dll
c:\windows\system32\stringres115_fr.dll
c:\windows\system32\stringres115_it.dll
c:\windows\system32\stringres115_jp.dll
c:\windows\system32\stringres115_ko.dll
c:\windows\system32\stringres115_nl.dll
c:\windows\system32\stringres115_pl.dll
c:\windows\system32\stringres115_pt.dll
c:\windows\system32\stringres115_ru.dll
c:\windows\system32\stringres115_sv.dll
c:\windows\system32\Vb40032.dll
c:\windows\system32\zip32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-04-18 bis 2010-05-18  ))))))))))))))))))))))))))))))
.

2010-05-14 17:50 . 2010-05-14 17:50	--------	d-----r-	c:\windows\system32\config\systemprofile\Favoriten
2010-05-11 18:13 . 2010-05-11 18:15	--------	d-----w-	c:\programme\ICQ7.1
2010-05-11 18:01 . 2010-05-11 18:12	--------	d-----w-	c:\programme\Trillian
2010-05-11 14:40 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-11 11:48 . 2010-05-11 11:48	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\QIP
2010-05-11 11:47 . 2010-02-18 14:46	127440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}\components\qippipe.dll
2010-05-11 11:47 . 2010-02-18 14:46	149968	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
2010-04-27 17:01 . 2010-05-11 19:15	449	---ha-w-	C:\os466477.bin
2010-04-27 16:47 . 2010-04-27 16:47	--------	d-----w-	c:\windows\PreviewSoft
2010-04-27 16:47 . 2010-04-27 16:47	--------	d-----w-	c:\programme\Ulead Systems
2010-04-27 16:47 . 1999-10-15 10:50	1056768	----a-w-	c:\windows\system32\ROBOEX32.DLL
2010-04-27 16:47 . 1999-01-28 13:44	49152	----a-w-	c:\windows\system32\INETWH32.dll
2010-04-27 16:46 . 2010-04-27 16:48	--------	d-----w-	c:\programme\PhotoScape
2010-04-27 16:45 . 2010-04-27 16:45	--------	d-----w-	c:\programme\AnvSoft Photo Flash Maker Free Version

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 18:33 . 2004-08-04 12:00	78436	----a-w-	c:\windows\system32\perfc007.dat
2010-05-18 18:33 . 2004-08-04 12:00	445196	----a-w-	c:\windows\system32\perfh007.dat
2010-05-18 18:15 . 2010-01-12 14:21	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-05-18 13:46 . 2010-03-22 16:10	--------	d-----w-	c:\programme\StarMoney Business 4.0
2010-05-18 10:56 . 2008-11-24 15:47	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2010-05-14 19:42 . 2010-03-30 13:53	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-05-12 10:01 . 2007-07-31 12:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-11 19:40 . 2007-08-01 09:35	--------	d-----w-	c:\programme\Canon
2010-05-11 19:40 . 2007-07-24 13:57	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-05-11 19:36 . 2008-09-29 16:29	--------	d-----w-	c:\programme\CCleaner
2010-05-11 14:40 . 2007-08-11 16:42	--------	d-----w-	c:\programme\Java
2010-05-11 14:27 . 2007-08-01 10:27	--------	d-----w-	c:\programme\***M2
2010-04-29 13:39 . 2010-03-30 13:53	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-03-30 13:53	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-28 22:33 . 2007-08-02 07:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-04-28 22:28 . 2007-08-02 07:49	--------	d-----w-	c:\programme\GIMP-2.0
2010-04-27 16:24 . 2010-01-26 10:49	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Kofax
2010-04-22 18:43 . 2007-08-03 18:00	--------	d-----w-	c:\programme\vtplus
2010-04-22 18:41 . 2008-10-10 15:36	--------	d-----w-	c:\programme\StarMoney Business 3.0 Deutsche Bank Edition
2010-04-22 18:37 . 2007-08-03 17:57	--------	d-----w-	c:\programme\WinTV
2010-04-22 18:23 . 2009-03-04 20:28	--------	d-----w-	c:\programme\Animake
2010-04-22 17:59 . 2009-03-04 20:27	--------	d-----w-	c:\programme\Ulead GIF Animator Lite Edition
2010-04-02 03:48 . 2010-04-01 23:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-04-01 23:53 . 2010-04-01 23:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2010-04-01 23:47 . 2010-04-01 23:47	--------	d-----w-	c:\programme\VideoLAN
2010-03-30 18:46 . 2010-03-30 18:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-03-30 18:37 . 2010-03-30 18:37	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2bc82ba5-n\msvcp71.dll
2010-03-30 18:37 . 2010-03-30 18:37	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2bc82ba5-n\jmc.dll
2010-03-30 18:37 . 2010-03-30 18:37	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2bc82ba5-n\msvcr71.dll
2010-03-30 18:37 . 2010-03-30 18:37	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-395db66d-n\decora-sse.dll
2010-03-30 18:37 . 2010-03-30 18:37	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-395db66d-n\decora-d3d.dll
2010-03-30 13:53 . 2010-03-30 13:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-03-30 13:53 . 2010-03-30 13:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-25 14:54 . 2007-08-01 10:31	--------	d-----w-	c:\programme\RingM2
2010-03-23 08:36 . 2007-08-01 14:04	131800	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-22 16:28 . 2010-03-22 16:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\StarMoney Business 4.0
2010-03-22 16:26 . 2010-03-22 16:12	30	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\StarMoney Business 4.0\profil\sfmsb.dll
2010-03-22 16:12 . 2010-01-26 08:39	--------	d-----w-	c:\programme\Common Files
2010-03-22 16:11 . 2010-03-22 16:11	--------	d-----w-	c:\programme\Business Objects
2010-03-22 16:10 . 2010-03-22 16:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\StarFinanz
2010-03-10 06:15 . 2004-08-04 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 22:23 . 2010-02-25 22:23	99124	---ha-w-	c:\windows\system32\mlfcache.dat
2010-02-25 06:15 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-04 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"HCWemmon"="HCWemmon.exe" [2007-03-29 61440]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-24 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-24 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-24 131072]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-03-25 198160]
"JobHisInit"="c:\programme\RMClient\JobHisInit.exe" [2005-08-01 151552]
"MplSetUp"="c:\programme\RMClient\MplSetUp.exe" [2000-11-04 40960]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"DR-2580CJobReader"="c:\programme\Canon Electronics\DR2580C\JobReader.exe" [2006-05-26 43112]
"CANON DR2580C SVC"="DR25SVC.dll" [2008-12-17 126976]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Snagit 9.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Snagit 9.lnk
backup=c:\windows\pss\Snagit 9.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^db dialog updater.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\db dialog updater.lnk
backup=c:\windows\pss\db dialog updater.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Gawis.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Gawis.lnk
backup=c:\windows\pss\Gawis.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft Office Outlook.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft Office Outlook.lnk
backup=c:\windows\pss\Microsoft Office Outlook.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2010-04-03 14:44	640440	----a-w-	c:\programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2010-04-03 20:32	38840	----a-w-	c:\programme\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17	952768	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-07-02 14:36	133104	----atw-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-05-11 18:13	133368	----a-w-	c:\programme\ICQ7.1\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2008-04-30 12:35	46368	----a-w-	c:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-01-22 18:16	141608	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
2007-11-13 11:16	79136	----a-w-	c:\programme\ScanSoft\OmniPageSE4\OpWareSE4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2008-04-30 12:37	29984	----a-w-	c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-03-25 10:06	198160	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"ICQ Service"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"InoRPC"=2 (0x2)
"InoTask"=2 (0x2)
"InoRT"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
"AntiVirService"=2 (0x2)
"iGateway"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"=
"c:\\Programme\\Gemeinsame Dateien\\SafeNet Sentinel\\Sentinel Keys Server\\sntlkeyssrvr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\StarMoney Business 4.0\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney Business 4.0\\app\\StarMoney.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 InAspi32;InAspi32;c:\windows\system32\drivers\InAspi32.sys [26.01.2010 10:34 8704]
R2 SentinelKeysServer;Sentinel Keys Server;c:\programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [27.04.2007 02:00 316992]
R2 StarMoney Business 4.0 OnlineUpdate;StarMoney Business 4.0 OnlineUpdate;c:\programme\StarMoney Business 4.0\ouservice\StarMoneyOnlineUpdate.exe [15.04.2010 13:25 541192]
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-05-18 c:\windows\Tasks\AvP.job
- c:\dokumente und einstellungen\***\Eigene Dateien\AvP.docx [2008-06-05 16:13]

2010-05-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-842925246-839522115-1003Core.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-07-02 14:36]

2010-05-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-842925246-839522115-1003UA.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-07-02 14:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyServer = 192.168.250.150:3128
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
TCP: {EA5DE5CA-2566-4B64-BECB-7176F58E54D3} = 192.168.250.200
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - w*w.google.de
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\htbtj8sg.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}\components\qippipe.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
MSConfigStartUp-AppleSyncNotifier - c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-Messenger (Yahoo!) - c:\programme\Yahoo!\Messenger\YahooMessenger.exe
MSConfigStartUp-QIP Internet Guardian - c:\dokumente und einstellungen\***\Anwendungsdaten\QipGuard\QipGuard.exe
MSConfigStartUp-Realtime Monitor - c:\programme\CA\eTrustITM\realmon.exe
MSConfigStartUp-StarMoneyRunEntry - c:\programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe



**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
Zeit der Fertigstellung: 2010-05-18  20:42:39
ComboFix-quarantined-files.txt  2010-05-18 18:42

Vor Suchlauf: 26 Verzeichnis(se), 293.781.684.224 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 293.888.393.216 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 9304A5F8A49716C053D8A4E268FC2D67
         

Alt 18.05.2010, 21:00   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Rel. unauffällig. Mach mal bitte Logs mit GMER und OSAM.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.05.2010, 16:02   #9
Maida
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



grml.... abgesehen davon, dass der GMER Scan ewig dauert, hängt sich anschließend mein Rechner auf...

Hast Du irgend ´nen Tipp?

Also, ich hab gemäß Anleitung Antivir deaktiviert, die Verbindungen getrennt, stundenlang auf das Beenden des Scans gewartet.. und dann passiert alles gaaaaaaaanz langsam... "keine Rückmeldung"- Meldung von GMER, dann irgendwann reagiert es wieder, nach Minuten ist auch endlich das Logfile gespeichert.. aber ansonsten.. Strg+Alt+Entf: keine Reaktion, Start: keine Reaktion, offenbar auch keine großartige Festplattenaktivität im Hintergrund, der PC steht still und stumm auf seinem Platz.

Und nu? Einfach ausschalten??

Alt 20.05.2010, 18:27   #10
Maida
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



Da sich nach Stunden immer noch nichts tat, Maus funktionierte noch, das war´s aber auch schon, hab ich nun den Rechner per "Startbutton 5 Sek. gedrückt halten" ausgeschaltet.. Hier die Logfiles:


Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-20 16:43:34
Windows 5.1.2600 Service Pack 3
Running: p9henboj.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            BA257DB6                                                             ZwCreateKey
SSDT            BA257DAC                                                             ZwCreateThread
SSDT            BA257DBB                                                             ZwDeleteKey
SSDT            BA257DC5                                                             ZwDeleteValueKey
SSDT            BA257DCA                                                             ZwLoadKey
SSDT            BA257D98                                                             ZwOpenProcess
SSDT            BA257D9D                                                             ZwOpenThread
SSDT            BA257DD4                                                             ZwReplaceKey
SSDT            BA257DCF                                                             ZwRestoreKey
SSDT            BA257DC0                                                             ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\Senfilt.sys                              entry point in "init" section [0xA8EF7A80]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Mozilla Firefox\firefox.exe[3420] ntdll.dll!LdrLoadDll  7C9263C3 5 Bytes  JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                             fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         




Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:23:51 on 20.05.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"AvP.job" - ? - C:\Dokumente und Einstellungen\***\Eigene Dateien\AvP.docx
"GoogleUpdateTaskUserS-1-5-21-1417001333-842925246-839522115-1003Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-1417001333-842925246-839522115-1003UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"ksm410.cpl" - "Kofax Image Products" - C:\WINDOWS\system32\ksm410.cpl
"PIXMDLLC.CPL" - ? - C:\WINDOWS\system32\PIXMDLLC.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InAspi32" (InAspi32) - "Initio Corporation" - C:\WINDOWS\system32\drivers\InAspi32.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Sentinel" (Sentinel) - "SafeNet, Inc." - C:\WINDOWS\System32\Drivers\SENTINEL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Program Files\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} "Snagit" - "TechSmith Corporation" - C:\Programme\TechSmith\Snagit 9\SnagitIEAddin.dll
{CF74B903-3389-469c-B3B6-0204D204FCBD} "SnagItShellExt Class" - "TechSmith Corporation" - C:\Programme\TechSmith\Snagit 9\SnagitShellExt.dll
{8297BF6E-EE34-426B-BCDB-42274450DBB7} "VRS ShellExtInit Class" - "Kofax Image Products" - C:\Programme\Kofax\ImgCtls\bin\VRS.ShellExt.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} "CPlayFirstddfotgControl Object" - "PlayFirst, Inc." - C:\WINDOWS\Downloaded Program Files\ddfotg.1.0.0.33.dll / h**p://games.bigfishgames.com/de_dinerdashfloontheg/online/ddfotg.1.0.0.33.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} "Office Genuine Advantage Validation Tool" - ? - C:\WINDOWS\system32\OGACheckControl.dll / h**p://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab
{C7DB51B4-BCF7-4923-8874-7F1A0DC92277} "Office Update Installation Engine" - "Microsoft Corporation" - C:\WINDOWS\opuc.dll / h**p://office.microsoft.com/officeupdate/content/opuc4.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7.1" - "ICQ, LLC." - C:\Programme\ICQ7.1\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} "Snagit" - "TechSmith Corporation" - C:\Programme\TechSmith\Snagit 9\SnagitIEAddin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
{F4971EE7-DAA0-4053-9964-665D8EE6A077} "SmartSelect Class" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{00C6482D-C502-44C8-8409-FCE54AD9C208} "SnagIt Toolbar Loader" - "TechSmith Corporation" - C:\Programme\TechSmith\Snagit 9\SnagitBHO.dll
{02478D38-C3F9-4efb-9B51-7695ECA05670} "{02478D38-C3F9-4efb-9B51-7695ECA05670}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CANON DR2580C SVC" - "Canon Electronics" - rundll32.exe DR25SVC.dll,EntryPointUserMessage
"DR-2580CJobReader" - "Canon Electronics Inc." - "C:\Programme\Canon Electronics\DR2580C\JobReader.exe" DR2580C.dll
"JobHisInit" - ? - C:\Programme\RMClient\JobHisInit.exe
"MplSetUp" - "RICOH CO.,LTD." - C:\Programme\RMClient\MplSetUp.exe
"PPort11reminder" - "Nuance Communications, Inc." - "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"SmartDeviceMonitor" - "RICOH" - C:\WINDOWS\system32\RPNV2MON.DLL

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
"Macromedia Licensing Service" (Macromedia Licensing Service) - ? - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"ProtexisLicensing" (ProtexisLicensing) - ? - C:\WINDOWS\system32\PSIService.exe
"Sentinel Keys Server" (SentinelKeysServer) - "SafeNet, Inc." - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
"Sentinel Protection Server" (SentinelProtectionServer) - "SafeNet, Inc" - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
"StarMoney Business 4.0 OnlineUpdate" (StarMoney Business 4.0 OnlineUpdate) - "Star Finanz - Software Entwicklung und Vertriebs GmbH" - C:\Programme\StarMoney Business 4.0\ouservice\StarMoneyOnlineUpdate.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru

Alt 20.05.2010, 19:48   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Standard

Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr



GMER stürzt leider öfter ab, aber beide Logfiles gehen i.O.
Noch Probleme mitm Rechner?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr
0x00000001, 0xc0000001, 41700, acroiehelper.dll, adblock, antivir, avgntflt.sys, avira, bho, desktop, email, error, excel.exe, fehler, firefox, firefox 3.6.3, firefox.exe, flash player, google chrome, installation, intranet, jusched.exe, location, logfile, maus, microsoft office word, mozilla, object, office 2007, oldtimer, otl logfile, otl.exe, programm, registry, saver, sched.exe, searchplugins, security, security update, server, server 2003, shell32.dll, software, starmoney, system, tr/buzus.ealr, tr/fake.cx.172544, trojan.downloader, trojaner, unerwarteter fehler, usb, usb 2.0, virus, vlc media player, web.de, windows, windows internet, windows internet explorer



Ähnliche Themen: Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr


  1. Trojaner per Fake-Rechnung bekommen
    Plagegeister aller Art und deren Bekämpfung - 26.05.2014 (9)
  2. BKA-Fake Trojaner, Firefox gesperrt
    Plagegeister aller Art und deren Bekämpfung - 29.11.2013 (8)
  3. GUV Trojaner Trojan.FAKe.ms (VCOLOM.DAT)
    Plagegeister aller Art und deren Bekämpfung - 26.05.2013 (10)
  4. Deutsche Post Fake email/ trojaner
    Log-Analyse und Auswertung - 29.11.2012 (15)
  5. Fake Vodafone Rechnung PDF geöffnet. Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2012 (3)
  6. Trojaner aus Deutsche Post Fake Mail
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (22)
  7. BKA Trojaner Ranson & Fake MS
    Log-Analyse und Auswertung - 02.08.2012 (3)
  8. trojaner 100 € fake security download windows!
    Log-Analyse und Auswertung - 29.02.2012 (19)
  9. Man wollte mir einen Trojaner schicken. Fake?
    Überwachung, Datenschutz und Spam - 18.10.2011 (16)
  10. Trojaner fake alert
    Log-Analyse und Auswertung - 09.08.2011 (20)
  11. Trojaner - Antivireren Software Fake
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (1)
  12. Harddrive Error - Fake Trojaner
    Log-Analyse und Auswertung - 23.06.2011 (27)
  13. Trojaner Fake.AV auf meinem Laptop....
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (5)
  14. Trojaner Fake.AV / Windows Recovery?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (10)
  15. Trojaner DR/fake alert sj
    Plagegeister aller Art und deren Bekämpfung - 27.09.2009 (23)
  16. Nur Fake-Trojaner gefunden, IE trotzdem tot!
    Log-Analyse und Auswertung - 06.07.2008 (8)
  17. Trojaner @ ThemeXP.org - FAKE
    Plagegeister aller Art und deren Bekämpfung - 14.04.2004 (17)

Zum Thema Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr - Guten Tag zusammen, letzte Woche Freitag schlug Avira plötzlich Alarm, meldete auf meinem Bürorechner den Fund von TR/Buzus.ealr. Ständig öffneten sich irgendwelche Werbepopups in IE, obwohl ich mit Firefox arbeite. - Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr...
Archiv
Du betrachtest: Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.