| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dropper Gen gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.06.2010, 15:11
| #1 |
| |  TR/Dropper Gen gefunden Hallo, seit ein paar Tagen findet mein AntiVirus immer wieder den Virus "TR/Dropper Gen". Ich kann auch "entfernen" auswählen, aber dann ist meist nur für ein paar Minuten Ruhe, bis die Nachricht wieder kommt. Außerdem startet sich ständig der MSN Messenger von alleine. Das Ganze passiert, seit ich von einer Freundin über Skype eine Nachricht mit einem Link zu einem Bild bekommen habe (die sie aber nicht geschickt hat, hatte also selber einen Virus). Ich hab leider nicht wirklich viel Ahnung von Viren etc. und habe mir eben die Posts von allen anderen durchgelesen, die diesen Virusfund hatten. Habe also mal mit eScan und SilentRunners gescannt, so wie es da gesagt wurde. Das Ergebnis bei eScan: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
eScan Version: 11.0.86
Sprache: German
E:\DOKUME~1\MPBE6A~1\LOKALE~1\Temp\MWAV.LOG
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\fiction_fixers_wonderland_64581126-setup.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp1\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp2\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp3\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp4\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp5\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\fiction_fixers_wonderland_64581126-setup.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp1\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp2\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp3\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp4\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\~RomDmp5\RomDump.com ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QUQX8UZD\dotnetfx35setup[1].exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP871.tmp\PresentationCore.dll ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - E:\WINDOWS\system32\services.exe
lsass.exe - E:\WINDOWS\system32\lsass.exe
svchost.exe - E:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - E:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - E:\WINDOWS\Explorer.EXE
FOXITR~1.EXE - "C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE" "E:\Dokumente und Einstellungen\m™p\Eigene Dateien\Downloads\escan_router.pdf"
Skype.exe - "E:\Programme\Skype\Phone\Skype.exe"
skypePM.exe - "E:\Programme\Skype\Plugin Manager\skypePM.exe" /SILENT
firefox.exe - "C:\Programme\Firefox\firefox.exe"
cmd.exe - cmd /c ""E:\Dokumente und Einstellungen\m™p\Eigene Dateien\Downloads\find.bat" "
cscript.exe - cscript E:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\UIUSYS.SYS in HKLM\SYSTEM\CurrentControlSet\Services\UIUSys. Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von !!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Temp\wlsetup-cvr.exe!!!
Zeit überschritten beim Scannen von C:\fsc.tmp\1003614_gemtek_3_100_64_1\data1.cab!!!
Zeit überschritten beim Scannen von C:\Programme\Conquer\enco_5175-5200.exe!!!
Zeit überschritten beim Scannen von C:\Programme\Spiele\Des Koenigs Schmiedin\jre\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Spiele\G.H.O.S.T - Das Phantom auf dem Mittelaltermarkt\game\data.zip!!!
Zeit überschritten beim Scannen von C:\Programme\Spiele\Rhianna Ford und der Brief von Da Vinci\GameData.pak!!!
Zeit überschritten beim Scannen von E:\AddOn\MediaPlayer10\MP10SETUP.EXE!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 1.1.2.23\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 1.1.3.26\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 1.1.4.7\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.0.1.5\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.1.0.25\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.1.1.13\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.1.2.7\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.4.0.27\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.4.1.7\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.5.1.3\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple\Installer Cache\Apple Mobile Device Support 2.6.0.32\AppleMobileDeviceSupport.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.6.0.29\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.6.1.9\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.6.2.9\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\iTunes.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.4.1.14\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.4.5.67\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.65.17.80\QuickTime.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\04B3EC9B2B5945A1B7AFC5FAFC297401\TalkingHeadzSetup.exe!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Anwendungsdaten\Thunderbird\Profiles\g0nw912y.default\Mail\pop.mail.yahoo-1.com\Inbox!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Anwendungsdaten\Thunderbird\Profiles\g0nw912y.default\Mail\pop.mail.yahoo-1.com\Trash!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Anwendungsdaten\Thunderbird\Profiles\g0nw912y.default\Mail\pop.mail.yahoo.com\Inbox!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Anwendungsdaten\Thunderbird\Profiles\g0nw912y.default\Mail\pop.mail.yahoo.com\Trash!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Eigene Dateien\Downloads\mwav.exe!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations\{B181384A-BE88-47DD-9FD5-CD1D088CE140}\Samsung New PC Studio.msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\mÖp\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\SafariSetup.exe!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5M7WKT6X\AppleMobileDeviceSupport[1].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5M7WKT6X\AppleMobileDeviceSupport[2].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GP2RGH6B\QuickTime[1].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GP2RGH6B\QuickTime[2].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\AppleMobileDeviceSupport[1].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\AppleMobileDeviceSupport[2].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\iTunes[1].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\iTunes[2].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\iTunes[3].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\QuickTime[1].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHAZWHQN\QuickTime[2].msi!!!
Zeit überschritten beim Scannen von E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QUQX8UZD\iTunes[1].msi!!!
Zeit überschritten beim Scannen von E:\fsc.tmp\driver\audio\1008152_conexant_3_30_0_50\CP1\1005186_microsoft_2_0.exe!!!
Zeit überschritten beim Scannen von E:\fsc.tmp\driver\audio\1008152_conexant_3_30_0_50\SW1\x86\dotnetfx.exe!!!
Zeit überschritten beim Scannen von E:\fsc.tmp\driver\chipset\1007624_via_2_80a\Source\1007624_via_2_80a.exe!!!
Zeit überschritten beim Scannen von E:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-E\AccLR.cab!!!
Zeit überschritten beim Scannen von E:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-E\EnterWW.cab!!!
Zeit überschritten beim Scannen von E:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-E\InfLR.cab!!!
Zeit überschritten beim Scannen von E:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-E\OfficeLR.cab!!!
Zeit überschritten beim Scannen von E:\Programme\Gemeinsame Dateien\SPC530NC\VLounge\data2.cab!!!
Zeit überschritten beim Scannen von E:\Programme\Java\jre1.5.0\lib\rt.jar!!!
Zeit überschritten beim Scannen von E:\Programme\Java\jre1.6.0_02\lib\rt.jar!!!
Zeit überschritten beim Scannen von E:\Programme\Java\jre1.6.0_03\lib\rt.jar!!!
Zeit überschritten beim Scannen von E:\Programme\Java\jre1.6.0_05\lib\rt.jar!!!
Zeit überschritten beim Scannen von E:\Programme\Java\jre1.6.0_07\lib\rt.jar!!!
Zeit überschritten beim Scannen von E:\Programme\Java\jre6\lib\rt.jar!!!
Zeit überschritten beim Scannen von E:\Programme\Microsoft Office\Office12\1031\XMLSDK5.CHM!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Downloaded Installations\Macromedia Flash 8\Data1.cab!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Driver Cache\i386\driver.cab!!!
Zeit überschritten beim Scannen von E:\WINDOWS\fsc\DOTNETFX\DOTNETFX.EXE!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Installer\4a8ce1d.msi!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Installer\a4bb89.msp!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Installer\d9939d7.msp!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Installer\db5f20.msp!!!
Zeit überschritten beim Scannen von E:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\vs_setup.cab!!!
Zahl der gescannten Objekte: 220597
Zahl der kritischen Objekte: 1
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 03:32:42
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
Batchstart: 15:53:28,34
Batchende: 15:54:24,42
Code:
ATTFilter "Silent Runners.vbs", revision 61, hxxp://www.silentrunners.org/
Operating System: Windows XP SP3
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"AutoStartNPSAgent" = "C:\Programme\Samsung\NPSAgent.exe" ["Samsung Electronics Co., Ltd."]
"Firewall Administrating" = "E:\WINDOWS\infocard.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = ""E:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Apoint" = "E:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"S3Trayp" = "S3Trayp.exe" ["S3 Graphics Co., Ltd."]
"NeroFilterCheck" = "E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"tuloxFreeWBS" = "(empty string)" [file not found]
"RemoteControl" = "E:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"GrooveMonitor" = ""E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"" [MS]
"ACU" = "E:\Programme\Atheros\ACU.exe -nogui" ["Atheros Communications, Inc."]
"WireLessMouse" = "E:\Programme\TCM\TCM Mouse Only\MouseDrv.exe" [empty string]
"AppleSyncNotifier" = "E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" ["Apple Inc."]
"avgnt" = ""E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min" ["Avira GmbH"]
"NPSStartup" = "(empty string)" [file not found]
"QuickTime Task" = ""E:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"DivXUpdate" = ""E:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW" [null data]
"Firewall Administrating" = "E:\WINDOWS\infocard.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"
\InProcServer32\(Default) = "E:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]
{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"
-> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"
\InProcServer32\(Default) = "E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]
{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SingleInstance Class"
\InProcServer32\(Default) = "E:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll" ["Yahoo! Inc"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\
Groove Explorer Icon Overlay 1 (GFS Unread Stub)\(Default) = "{99FD978C-D287-4F50-827F-B2C658EDA8E7}"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
Groove Explorer Icon Overlay 2 (GFS Stub)\(Default) = "{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)\(Default) = "{920E6DB1-9907-4370-B3A0-BAFC03D81399}"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
Groove Explorer Icon Overlay 3 (GFS Folder)\(Default) = "{16F3DD56-1AF5-4347-846D-7C10C4192619}"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
Groove Explorer Icon Overlay 4 (GFS Unread Mark)\(Default) = "{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "E:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
-> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
-> {HKLM...CLSID} = "Groove XML Icon Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "E:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "E:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "E:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "E:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\
<<!>> grooveLocalGWS\CLSID = "{88FED34C-F0CA-4636-A375-3CB6248B04CD}"
-> {HKLM...CLSID} = "Local Groove Web Services Protocol"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll" [MS]
<<!>> livecall\CLSID = "{828030A1-22C1-4009-854F-8E305202313F}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL" [MS]
<<!>> ms-help\CLSID = "{314111c7-a502-11d2-bbca-00c04f8ec294}"
-> {HKLM...CLSID} = "HxProtocol Class"
\InProcServer32\(Default) = "E:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll" [MS]
<<!>> msnim\CLSID = "{828030A1-22C1-4009-854F-8E305202313F}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL" [MS]
<<!>> skype4com\CLSID = "{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D}"
-> {HKLM...CLSID} = "IEProtocolHandler Class"
\InProcServer32\(Default) = "E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL" ["Skype Technologies"]
HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
SimpleShlExt\(Default) = "{A53118EA-E89E-49BD-AB1B-AB180BB12CFE}"
-> {HKLM...CLSID} = "MenuHandle Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Samsung\SHCONT~1.DLL" ["Clarus, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
SimpleShlExt\(Default) = "{A53118EA-E89E-49BD-AB1B-AB180BB12CFE}"
-> {HKLM...CLSID} = "MenuHandle Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Samsung\SHCONT~1.DLL" ["Clarus, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79305-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79305-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "E:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "E:\WINDOWS\system32\toyhide.bmp"
Windows Portable Device AutoPlay Handlers
-----------------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]
iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]
iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]
iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]
MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "E:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
NeroAutoPlay7CDAudio\
"Provider" = "Nero Express Essentials SE"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "CDAudio_HandleCDBurningOnArrival"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\CDAudio_HandleCDBurningOnArrival\command\(Default) = "E:\Programme\Nero\Nero 7\Core\nero.exe -w /New:AudioCD" ["Nero AG"]
NeroAutoPlay7CopyCD\
"Provider" = "Nero Express Essentials SE"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "CopyCD_PlayMusicFilesOnArrival"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\CopyCD_PlayMusicFilesOnArrival\command\(Default) = "E:\Programme\Nero\Nero 7\Core\nero.exe -w /New:DiscCopy" ["Nero AG"]
NeroAutoPlay7DataDisc\
"Provider" = "Nero Express Essentials SE"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "DataDisc_HandleCDBurningOnArrival"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\DataDisc_HandleCDBurningOnArrival\command\(Default) = "E:\Programme\Nero\Nero 7\Core\nero.exe -w /New:ISODisc" ["Nero AG"]
NeroAutoPlay7LaunchNeroStartSmart\
"Provider" = "Nero StartSmart Essentials"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "LaunchNeroStartSmart_HandleCDBurningOnArrival"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\LaunchNeroStartSmart_HandleCDBurningOnArrival\command\(Default) = "E:\Programme\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe /AutoPlay" ["Nero AG"]
PDVDPlayCDAudioOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD\Command\(Default) = ""E:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]
PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""E:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]
PDVDPlayVCDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "VCD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD\Command\(Default) = ""E:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%l"" ["CyberLink Corp."]
VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = ""C:\Programme\VLC\vlc.exe" --started-from-file cdda://%1" ["the VideoLAN Team"]
VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = ""C:\Programme\VLC\vlc.exe" --started-from-file dvd://%1" ["the VideoLAN Team"]
Startup items in "mÖp" & "All Users" startup folders:
-----------------------------------------------------
E:\Dokumente und Einstellungen\mÖp\Startmenü\Programme\Autostart
"OneNote 2007 Bildschirmausschnitt- und Startprogramm" -> shortcut to: "E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE /tsr" [MS]
"Samsung Auto Backup Guage" -> shortcut to: "C:\Programme\Samsung\ISFGuage.exe" ["Clarus, Inc."]
"Samsung Auto Backup Real-Time Daemon" -> shortcut to: "C:\Programme\Samsung\ISFRealTimeD.exe" ["Clarus, Inc."]
"Samsung Auto Backup Scheduler" -> shortcut to: "C:\Programme\Samsung\ISFTimerD.exe" ["Clarus, Inc."]
E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"VPro530" -> shortcut to: "E:\WINDOWS\VPro530.exe" ["Philips"]
"Winter Fun Wallpaper Changer" -> shortcut to: "E:\WINDOWS\Installer\{038A524F-58DB-438A-8391-8F7F0CA14B9E}\Icon038A524F.exe" [null data]
Enabled Scheduled Tasks:
------------------------
"AppleSoftwareUpdate" -> launches: "E:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "E:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]
Transport Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
Explorer Bars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
HKLM\SOFTWARE\Classes\CLSID\{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}\(Default) = "Groove Folder Synchronization"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{2670000A-7350-4F3C-8081-5663EE0C6C49}\
"ButtonText" = "An OneNote senden"
"MenuText" = "An OneNote s&enden"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll" [MS]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\icq\ICQ6.5\ICQ.exe" ["ICQ, LLC."]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "E:\Programme\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------
.NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS]
Anwendungsverwaltung, AppMgmt, "E:\WINDOWS\system32\svchost.exe -k netsvcs" {"E:\WINDOWS\System32\appmgmts.dll" [file not found]}
Apple Mobile Device, Apple Mobile Device, ""E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple Inc."]
ASP.NET State Service, aspnet_state, "E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [MS]
Atheros-Konfigurationsdienst, ACS, "E:\WINDOWS\system32\acs.exe" ["Atheros"]
Automatische Konfiguration (verkabelt), Dot3svc, "E:\WINDOWS\System32\svchost.exe -k dot3svc" {"E:\WINDOWS\System32\dot3svc.dll" [MS]}
Avira AntiVir Guard, AntiVirService, ""E:\Programme\Avira\AntiVir Desktop\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Planer, AntiVirSchedulerService, ""E:\Programme\Avira\AntiVir Desktop\sched.exe"" ["Avira GmbH"]
Bonjour-Dienst, Bonjour Service, "E:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "E:\WINDOWS\System32\svchost.exe -k netsvcs" {"E:\WINDOWS\system32\MsPMSNSv.dll" [MS]}
Extensible Authentication-Protokolldienst, EapHost, "E:\WINDOWS\System32\svchost.exe -k eapsvcs" {"E:\WINDOWS\System32\eapsvc.dll" [MS]}
FsUsbExService, FsUsbExService, "E:\WINDOWS\system32\FsUsbExService.Exe" ["Teruten"]
Integritätsschlüssel- und Zertifikatverwaltungsdienst, hkmsvc, "E:\WINDOWS\System32\svchost.exe -k netsvcs" {"E:\WINDOWS\System32\kmsvc.dll" [MS]}
iPod-Dienst, iPod Service, "E:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Java Quick Starter, JavaQuickStarterService, ""E:\Programme\Java\jre6\bin\jqs.exe" -service -config "E:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."]
Microsoft Office Diagnostics Service, odserv, ""E:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE"" [MS]
Microsoft Office Groove Audit Service, Microsoft Office Groove Audit Service, ""E:\Programme\Microsoft Office\Office12\GrooveAuditService.exe"" [MS]
NAP-Agent (Network Access Protection), napagent, "E:\WINDOWS\System32\svchost.exe -k netsvcs" {"E:\WINDOWS\System32\qagentrt.dll" [MS]}
Office Source Engine, ose, ""E:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"" [MS]
ServiceLayer, ServiceLayer, ""E:\Programme\PC Connectivity Solution\ServiceLayer.exe"" ["Nokia."]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "E:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Virtual Disk Service Manager, MSR Service, "E:\Programme\Clarus\Samsung SecretZone\MSSvc.exe" [null data]
Windows CardSpace, idsvc, ""E:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"" [MS]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "E:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"E:\WINDOWS\System32\WUDFSvc.dll" [MS]}
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""E:\Programme\Windows Media Player\WMPNetwk.exe"" [MS]
Windows Presentation Foundation Font Cache 3.0.0.0, FontCache3.0.0.0, "E:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe" [MS]
WMI-Leistungsadapter, WmiApSrv, "E:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]
Safe Mode Drivers & Services (subkey name, subkey default value):
-----------------------------------------------------------------
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\
<<!>> nm, "Service"
<<!>> nm.sys, "Driver"
Print Monitors:
---------------
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]
---------- (launch time: 2010-06-11 16:04:39)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 129 seconds, including 18 seconds for message boxes)
Vor einigen Tagen hab ich auch einen kompletten Systemdurchlauf bei AntiVir gemacht, da hat er mir allerdings nichts angezeigt.. Vielen Dank schonmal für die Mühen! |
| Themen zu TR/Dropper Gen gefunden |
| antivir guard, antivirus, assembly, avg, avgnt, avira, banke, banken, bonjour, brief, browser, computer, desktop, diagnostics, einstellungen, entfernen, fehlalarm, fehler, finds, firewall, fontcache, hijack, internet, internet explorer, jusched.exe, malware, maßnahme, outlook.pst, plug-in, prozesse, registrierungsdatenbank, senden, seriennummer, shortcut, software, spyware, temp, viren, vlc media player, windows, windows xp |
Baum-Darstellung