| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojanerverdacht - Google-Umleitung - behoben?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.06.2010, 16:56
| #1 |
| |  Trojanerverdacht - Google-Umleitung - behoben? Hallo, schön dass es Euch gibt! Ich hoffe, ihr könnt mir weiterhelfen. Mein AntiVir Guard hat gestern Abend/heute Nacht beim Surfen mit Firefox ein paar Attacken gemeldet, woraufhin ich bei den entsprechenden Dateien den Zugriff verweigert habe. Aber dann wurde ich bei bestimmten Suchwörtern auf google, wie z.B. "wikipedia" immer auf falsche Seiten geleitet. Ich habe dann erst mal einen kompletten Systemcheck mit AntiVir laufen lassen und in Panik im Internet nach Lösungen gesucht, was mich allerdings nur noch verzweifelter und paranoider gemacht hat und dann hat sich der Rechner schließlich mitten im Virencheck noch aufgehängt, so dass ich den Computer ganz ausschalten musste (vielleicht war das gleichzeitige Surfen doch nicht das Klügste...). Bin dann erst mal ins Bett. Heute habe ich das Problem mit den Umleitungen auf Google seltsamerweise nicht mehr, aber ich habe trotzdem AntiVir nochmal durchlaufen lassen und es hat auch drei Sachen gefunden, von denen ich zwei zwar als Fehlmeldungen verdächtige, aber die dritte ist schon suspekt, und für alle Fälle habe ich alles in Quarantäne verschoben und gelöscht. Dann habe ich den CCleaner mehrmals durchlaufen lassen bis er nichts mehr zu beanstanden hatte, daraufhin Malwarebyte's Anti-Malware (4 Funde, alle behoben), dann OTL- und HijackThis-Protokolle erstellt. Ein zweiter Durchlauf von Anti-Malware hat nichts mehr gefunden, Spybot - Search and Destroy auch nichts und eine Online-Prüfung mit F-Secure kam ebenfalls zu dem Schluss, dass alles in Ordnung sei. Aber im Netz habe ich jetzt so oft gelesen, dass man bei einem "Befall" allem misstrauen muss und besser immer gleich die Festplatte formatieren und das System neuaufspielen soll. Das wäre für mich ein Riesenaufwand und großer Frust, würde mich vermutlich mehrere Arbeitstage kosten - ich habe so etwas auch noch nie gemacht (System war immer schon auf dem Rechner vorinstalliert) und bei Vista große Angst, dass zunächst wieder alles schiefgeht und nichts so ist wie zuvor. Davon abgesehen müsste ich zuvor noch jede Mengen Daten in Sicherheit bringen (was ich schon früher mal hätte tun sollen, das ist klar)... Deshalb wende ich mich an euch - haltet ihr das auch für die einzig richtige Maßnahme oder ist das unverhältnismäßig, wenn man bedenkt, dass im Moment alles aussieht, als wäre es wieder in Ordnung? Und wenn ich wirklich gezwungen bin, die Platte zu formatieren, was muss ich beachten? Kann ich meine Dateien einfach auf DVDs brennen oder darf ich die auch nur noch mit der Kneifzange anfassen? Oder gibt es noch einen Mittelweg zwischen einfach Abhaken und radikaler Neuanfang? Kann ich noch irgendetwas tun, um etwas sicherer zu sein? Anbei die Protokolle, herzlichen Dank! Avira AntiVir Funde (einer davon anscheinend schon über zwei Wochen alt, hatte ich nicht mehr auf dem Schirm; damals aber den Zugriff verweigert) Code:
ATTFilter Guard: Malware gefunden (25.5.2010, 11:28:24)
In der Datei 'C:\Users\***(user)***\AppData\Local\Mozilla\Firefox\Profiles\n1h1j8l6.default\Cache\89F03738d01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Guard: Malware gefunden (10.6.2010, 21:03:24)
In der Datei 'C:\Users\***(user)***\AppData\Local\Windows Server\oqmmyn.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Hottrend.A' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Guard: Malware gefunden (10.6.2010, 21:03:25)
In der Datei 'C:\Users\***(user)***\AppData\Local\Windows Server\oqmmyn.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Hottrend.A' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Guard: Malware gefunden (11.6.2010, 02:27:25)
In der Datei 'C:\Users\***(user)***\AppData\Local\Mozilla\Firefox\Profiles\n1h1j8l6.default\Cache\7F995D54d01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben (-> gelöscht)
Scanner: Malware gefunden (11.6.2010, 14:38:21)
Die Datei 'C:\NeverwinterNights\NWN\NWN SoU+HotU 1.69 camera v2.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Injecter.dpt' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c602e94.qua' verschoben! (& gelöscht)
Scanner: Malware gefunden (11.6.2010, 14:38:21)
Die Datei 'C:\Users\***(user)***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\7dd8b7e0-66f1334c'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.N' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c762ea1.qua' verschoben! (& gelöscht)
Scanner: Malware gefunden (11.6.2010, 14:38:21)
Die Datei 'C:\Users\***(user)***\Downloads\Spiele\***\***\Black Sect.zip'
enthielt einen Virus oder unerwünschtes Programm 'LZDamage' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c732ea9.qua' verschoben! (& gelöscht)
Hier das AntiVir-Protokoll von heute: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juni 2010 11:51
Es wird nach 2201486 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 14:03:04
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:03:03
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:01:47
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 23:24:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:28:51
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:51:02
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 21:59:04
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:37:45
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 10:37:45
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 10:37:45
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 10:37:45
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 10:37:45
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 10:37:45
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 10:37:45
VBASE013.VDF : 7.10.7.225 2048 Bytes 02.06.2010 10:37:45
VBASE014.VDF : 7.10.8.6 136704 Bytes 07.06.2010 10:45:04
VBASE015.VDF : 7.10.8.7 2048 Bytes 07.06.2010 10:45:04
VBASE016.VDF : 7.10.8.8 2048 Bytes 07.06.2010 10:45:04
VBASE017.VDF : 7.10.8.9 2048 Bytes 07.06.2010 10:45:04
VBASE018.VDF : 7.10.8.10 2048 Bytes 07.06.2010 10:45:04
VBASE019.VDF : 7.10.8.11 2048 Bytes 07.06.2010 10:45:05
VBASE020.VDF : 7.10.8.12 2048 Bytes 07.06.2010 10:45:05
VBASE021.VDF : 7.10.8.13 2048 Bytes 07.06.2010 10:45:05
VBASE022.VDF : 7.10.8.14 2048 Bytes 07.06.2010 10:45:05
VBASE023.VDF : 7.10.8.15 2048 Bytes 07.06.2010 10:45:05
VBASE024.VDF : 7.10.8.16 2048 Bytes 07.06.2010 10:45:05
VBASE025.VDF : 7.10.8.17 2048 Bytes 07.06.2010 10:45:05
VBASE026.VDF : 7.10.8.18 2048 Bytes 07.06.2010 10:45:05
VBASE027.VDF : 7.10.8.19 2048 Bytes 07.06.2010 10:45:05
VBASE028.VDF : 7.10.8.20 2048 Bytes 07.06.2010 10:45:05
VBASE029.VDF : 7.10.8.21 2048 Bytes 07.06.2010 10:45:05
VBASE030.VDF : 7.10.8.22 2048 Bytes 07.06.2010 10:45:05
VBASE031.VDF : 7.10.8.32 121856 Bytes 10.06.2010 10:45:05
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 12:24:09
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 04.06.2010 10:37:53
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 14:44:14
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 12:24:09
AERDL.DLL : 8.1.4.6 541043 Bytes 15.04.2010 21:59:11
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 15:13:40
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 14:44:14
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04.06.2010 10:37:52
AEHELP.DLL : 8.1.11.5 242038 Bytes 04.06.2010 10:37:48
AEGEN.DLL : 8.1.3.10 377205 Bytes 04.06.2010 10:37:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 12:24:07
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 14:44:13
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:24:07
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 17:26:49
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 21:56:14
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 14:03:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Freitag, 11. Juni 2010 11:51
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '185849' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NPSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pcpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '46' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <***>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\NeverwinterNights\NWN\NWN SoU+HotU 1.69 camera v2.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Injecter.dpt
C:\Users\***(user)***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\7dd8b7e0-66f1334c
[0] Archivtyp: ZIP
--> AppleT.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.N
C:\Users\***(user)***\Downloads\Spiele\***\***\Black Sect.zip
[0] Archivtyp: ZIP
--> PRESNSND.EXE
[FUND] Enthält Erkennungsmuster des LZDamage-Virus
Beginne mit der Suche in 'D:\' <!!! NICHT LOESCHEN !!!>
Beginne mit der Desinfektion:
C:\NeverwinterNights\NWN\NWN SoU+HotU 1.69 camera v2.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Injecter.dpt
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c602e94.qua' verschoben!
C:\Users\***(user)***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\7dd8b7e0-66f1334c
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c762ea1.qua' verschoben!
C:\Users\***(user)***\Downloads\Spiele\***\***\Black Sect.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c732ea9.qua' verschoben!
Ende des Suchlaufs: Freitag, 11. Juni 2010 14:38
Benötigte Zeit: 2:39:23 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
27543 Verzeichnisse wurden überprüft
699702 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
699697 Dateien ohne Befall
2836 Archive wurden durchsucht
2 Warnungen
5 Hinweise
185849 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Malwarebytes' Anti-Malware Protokoll: Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org
Datenbank Version: 4188
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904
11.06.2010 11:23:13
mbam-log-2010-06-11 (11-23-13).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 121587
Laufzeit: 7 Minute(n), 0 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\***(user)***\AppData\Local\Temp\0.5594292846487654.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.
OTL-Protokoll (die 01 - Hosts: 127.0.0.1 sehen mir ziemlich dubios aus, aber ich habe selbst absolut keine Ahnung): Code:
ATTFilter OTL logfile created on: 11.06.2010 11:43:19 - Run 1 OTL by OldTimer - Version 3.2.6.0 Folder = C:\Users\***(user)***\Downloads Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18904) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 328,00 Mb Available Physical Memory | 32,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 60,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 228,00 Gb Total Space | 31,76 Gb Free Space | 13,93% Space Free | Partition Type: NTFS Drive D: | 4,88 Gb Total Space | 1,46 Gb Free Space | 29,96% Space Free | Partition Type: NTFS Drive E: | 456,71 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: ***(computer)*** Current User Name: ***(user)*** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Users\***(user)***\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.) PRC - C:\Windows\System32\FsUsbExService.Exe (Teruten) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Programme\PaperCut Print Logger\pcpl.exe (PaperCut Software International Pty Ltd) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Programme\Common Files\NMSAccessU.exe () ========== Modules (SafeList) ========== MOD - C:\Users\***(user)***\Downloads\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation) MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Automatisches LiveUpdate - Scheduler) -- File not found SRV - (FsUsbExService) -- C:\Windows\System32\FsUsbExService.Exe (Teruten) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (PCPrintLogger) -- C:\Program Files\PaperCut Print Logger\pcpl.exe (PaperCut Software International Pty Ltd) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (NMSAccessU) -- C:\Programme\Common Files\NMSAccessU.exe () ========== Driver Services (SafeList) ========== DRV - (FsUsbExDisk) -- C:\Windows\System32\FsUsbExDisk.Sys () DRV - (ss_mdm) -- C:\Windows\System32\drivers\ss_mdm.sys (MCCI Corporation) DRV - (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM) -- C:\Windows\System32\drivers\ss_bus.sys (MCCI Corporation) DRV - (ss_mdfl) -- C:\Windows\System32\drivers\ss_mdfl.sys (MCCI Corporation) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys () DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvmfdx32.sys (NVIDIA Corporation) DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys () DRV - (hwpsgt) -- C:\Windows\System32\drivers\hwpsgt.sys () DRV - (lemsgt) -- C:\Windows\System32\drivers\lemsgt.sys () DRV - (nvstor32) -- C:\Windows\system32\DRIVERS\nvstor32.sys (NVIDIA Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.) DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation) DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation) DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.) DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex) DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.) DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.) DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation) DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.) DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.) DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation) DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.) DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.) DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation) DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation) DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems) DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.) DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic) DRV - (SiSRaid2) -- C:\Windows\system32\drivers\sisraid2.sys (Silicon Integrated Systems Corp.) DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company) DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.) DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.) DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.) DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic) DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic) DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic) DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic) DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation) DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic) DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Logic Corporation) DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.) DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.) DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.) DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.) DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.) DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies) DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation) DRV - (wanatw) WAN Miniport (ATW) -- C:\Windows\System32\drivers\wanatw4.sys (America Online, Inc.) DRV - (O2SDRDR) -- C:\Windows\system32\drivers\o2sd.sys (O2Micro ) DRV - (O2MDRDR) -- C:\Windows\system32\drivers\o2media.sys (O2Micro ) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*w.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = h**ps://login.yahoo.com/config/mail?.intl=us [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.perlentaucher.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaulturl: "h**p://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q=" FF - prefs.js..browser.search.selectedEngine: "ICQ Search" FF - prefs.js..browser.startup.homepage: "w*w.google.com" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3 FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.9 FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.8 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..keyword.URL: "h**p://search.icq.com/search/afe_results.php?ch_id=afex&q=" FF - prefs.js..network.proxy.h**p: "h**p-proxy.***(universität)***.de" FF - prefs.js..network.proxy.h**p_port: 80 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.04.13 10:39:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.06.03 14:06:31 | 000,000,000 | ---D | M] [2008.09.07 01:20:26 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\mozilla\Extensions [2010.06.10 15:53:48 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions [2010.05.25 10:08:38 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.05.25 10:08:38 | 000,000,000 | ---D | M] (FireFTP) -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f} [2010.04.16 09:47:10 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.05.25 10:08:38 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.04.14 10:11:54 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8} [2007.10.20 14:25:42 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\{F33233B3-EDB1-41f4-8482-917AB190E647} [2008.03.19 22:46:45 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\mozilla\Firefox\Profiles\n1h1j8l6.default\extensions\xpose@viamatic.com [2010.06.09 16:10:17 | 000,000,950 | ---- | M] () -- C:\Users\***(user)***\AppData\Roaming\Mozilla\FireFox\Profiles\n1h1j8l6.default\searchplugins\icqplugin-1.xml [2008.02.27 16:48:01 | 000,000,950 | ---- | M] () -- C:\Users\***(user)***\AppData\Roaming\Mozilla\FireFox\Profiles\n1h1j8l6.default\searchplugins\icqplugin.xml [2010.04.29 22:40:47 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.04.29 22:40:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2008.09.07 01:20:21 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org [2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2009.08.22 12:16:53 | 000,072,960 | ---- | M] (Foxit Software Company) -- C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll [2010.03.12 03:59:53 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.12 03:59:53 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.12 03:59:53 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.12 03:59:53 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.12 03:59:53 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2007.09.06 20:57:19 | 000,065,833 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 127.0.0.1 babe.the-killer.bz O1 - Hosts: 127.0.0.1 w*w.babe.the-killer.bz O1 - Hosts: 127.0.0.1 babe.k-lined.com O1 - Hosts: 127.0.0.1 w*w.babe.k-lined.com O1 - Hosts: 127.0.0.1 did.i-used.cc O1 - Hosts: 127.0.0.1 w*w.did.i-used.cc O1 - Hosts: 127.0.0.1 coolw*wsearch.com O1 - Hosts: 127.0.0.1 w*w.coolw*wsearch.com O1 - Hosts: 127.0.0.1 coolwebsearch.com O1 - Hosts: 127.0.0.1 w*w.coolwebsearch.com O1 - Hosts: 127.0.0.1 hi.studioaperto.net O1 - Hosts: 127.0.0.1 w*w.hi.studioaperto.net O1 - Hosts: 127.0.0.1 webbrowser.tv O1 - Hosts: 127.0.0.1 w*w.webbrowser.tv O1 - Hosts: 127.0.0.1 wazzupnet.com O1 - Hosts: 127.0.0.1 w*w.wazzupnet.com O1 - Hosts: 127.0.0.1 gueb.com O1 - Hosts: 127.0.0.1 w*w.gueb.com O1 - Hosts: 127.0.0.1 kabex.com O1 - Hosts: 127.0.0.1 w*w.kabex.com O1 - Hosts: 127.0.0.1 hityou.com O1 - Hosts: 127.0.0.1 w*w.hityou.com O1 - Hosts: 127.0.0.1 miosearch.com O1 - Hosts: 2300 more lines... O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll File not found O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [NeroFilterCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Skytel] C:\Windows\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA} h**p://java.sun.com/products/plugin/1.4/jinstall-14_07-windows-i586.cab (Java Plug-in 1.4.1_07) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.) O18 - Protocol\Handler\h**p\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\h**p\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\h**ps\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\h**ps\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\***(user)***\Pictures\wallpaper\Music-Headphones-61581.jpg O24 - Desktop BackupWallPaper: C:\Users\***(user)***\Pictures\wallpaper\Music-Headphones-61581.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{497df8fb-4f59-11dc-831a-00038a000015}\Shell\AutoRun\command - "" = J:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.06.11 11:13:55 | 000,000,000 | ---D | C] -- C:\Users\***(user)***\AppData\Roaming\Malwarebytes [2010.06.11 11:13:42 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.06.11 11:13:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.06.11 11:13:40 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.06.11 11:13:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.06.10 21:03:15 | 000,000,000 | ---D | C] -- C:\Users\***(user)***\AppData\Local\Windows Server [2010.06.08 02:10:23 | 000,000,000 | ---D | C] -- C:\Programme\Abe's Oddysee [2010.06.03 14:23:33 | 000,515,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\XAudio2_5.dll [2010.06.03 14:23:33 | 000,069,464 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\XAPOFX1_3.dll [2010.06.03 14:23:31 | 005,501,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3dcsx_42.dll [2010.06.03 14:23:31 | 001,974,616 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\D3DCompiler_42.dll [2010.06.03 14:23:31 | 000,238,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\xactengine3_5.dll [2010.06.03 14:23:30 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3dx10_42.dll [2010.06.03 14:23:30 | 000,235,344 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3dx11_42.dll [2010.06.03 14:23:28 | 001,892,184 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\D3DX9_42.dll [2010.05.30 02:41:53 | 000,000,000 | ---D | C] -- C:\Programme\Oldgames [2010.05.24 18:53:18 | 000,000,000 | ---D | C] -- C:\Users\***(user)***\.thumbnails [2010.05.24 18:22:27 | 000,000,000 | ---D | C] -- C:\Users\***(user)***\Documents\gegl-0.0 [2010.05.24 18:22:27 | 000,000,000 | ---D | C] -- C:\Users\***(user)***\.gimp-2.6 [2010.05.24 18:20:52 | 000,000,000 | ---D | C] -- C:\Programme\GIMP-2.0 [2010.05.23 02:52:11 | 000,000,000 | ---D | C] -- C:\RPG95 [2010.05.13 15:31:24 | 000,000,000 | ---D | C] -- C:\Programme\Xaldon ========== Files - Modified Within 30 Days ========== [2010.06.11 11:43:34 | 003,670,016 | -HS- | M] () -- C:\Users\***(user)***\NTUSER.DAT [2010.06.11 11:27:28 | 000,053,164 | ---- | M] () -- C:\ProgramData\nvModes.dat [2010.06.11 11:27:27 | 000,053,164 | ---- | M] () -- C:\ProgramData\nvModes.001 [2010.06.11 11:26:54 | 000,003,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2010.06.11 11:26:54 | 000,003,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2010.06.11 11:26:50 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT [2010.06.11 11:26:46 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.06.11 11:26:43 | 1072,226,304 | -HS- | M] () -- C:\hiberfil.sys [2010.06.11 11:25:16 | 000,524,288 | -HS- | M] () -- C:\Users\***(user)***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms [2010.06.11 11:25:16 | 000,065,536 | -HS- | M] () -- C:\Users\***(user)***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf [2010.06.11 11:25:12 | 003,804,897 | -H-- | M] () -- C:\Users\***(user)***\AppData\Local\IconCache.db [2010.06.11 11:13:45 | 000,000,821 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.06.11 11:11:42 | 000,042,012 | ---- | M] () -- C:\Users\***(user)***\Documents\ccleaner 11-06-2010 trojanerverdacht.reg [2010.06.08 13:38:55 | 000,109,056 | ---- | M] () -- C:\Users\***(user)***\Documents\Adressen 2008.xls [2010.06.07 01:58:59 | 000,524,288 | -HS- | M] () -- C:\Users\***(user)***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms [2010.06.03 18:59:34 | 000,008,235 | ---- | M] () -- C:\Users\***(user)***\.recently-used.xbel [2010.06.03 17:47:20 | 000,000,025 | ---- | M] () -- C:\Users\***(user)***\.gtk-bookmarks [2010.06.01 14:22:23 | 000,011,618 | ---- | M] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:26:51 | 000,011,618 | ---- | M] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:24:26 | 000,034,779 | ---- | M] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:20:32 | 000,036,503 | ---- | M] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:17:35 | 000,011,378 | ---- | M] () -- C:\Users\***(user)***\***bild***.pcx [2010.05.30 02:42:34 | 000,002,141 | ---- | M] () -- C:\Users\***(user)***\Desktop\***progamm***.lnk [2010.05.29 22:23:42 | 000,000,588 | ---- | M] () -- C:\Users\***(user)***\Desktop\***progamm***.lnk [2010.05.27 21:08:30 | 000,006,690 | ---- | M] () -- C:\Users\***(user)***\****.elfo [2010.05.25 17:56:13 | 001,445,786 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI [2010.05.25 17:56:13 | 000,628,210 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.05.25 17:56:13 | 000,595,308 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.05.25 17:56:13 | 000,126,850 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.05.25 17:56:13 | 000,104,742 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.05.24 18:56:11 | 000,009,385 | ---- | M] () -- C:\Users\***(user)***\***bild***.pcx.pcx [2010.05.24 18:21:31 | 000,000,901 | ---- | M] () -- C:\Users\Public\Desktop\***progamm***.lnk [2010.05.17 23:52:17 | 000,020,480 | ---- | M] () -- C:\Users\***(user)***\Documents\***.doc [2010.05.13 15:35:24 | 000,000,153 | ---- | M] () -- C:\Users\***(user)***\Documents\***.wsp [2010.05.13 15:31:27 | 000,000,000 | ---- | M] () -- C:\Windows\PROTOCOL.INI ========== Files Created - No Company Name ========== [2010.06.11 11:13:45 | 000,000,821 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.06.11 11:09:05 | 000,042,012 | ---- | C] () -- C:\Users\***(user)***\Documents\ccleaner 11-06-2010 trojanerverdacht.reg [2010.06.03 18:59:34 | 000,008,235 | ---- | C] () -- C:\Users\***(user)***\.recently-used.xbel [2010.06.03 17:47:20 | 000,000,025 | ---- | C] () -- C:\Users\***(user)***\.gtk-bookmarks [2010.06.01 14:22:23 | 000,011,618 | ---- | C] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:26:51 | 000,011,618 | ---- | C] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:24:26 | 000,034,779 | ---- | C] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:20:32 | 000,036,503 | ---- | C] () -- C:\Users\***(user)***\***bild***.pcx [2010.06.01 13:17:35 | 000,011,378 | ---- | C] () -- C:\Users\***(user)***\***bild***.pcx [2010.05.30 02:41:20 | 000,002,141 | ---- | C] () -- C:\Users\***(user)***\Desktop\***progamm***.lnk [2010.05.29 22:23:42 | 000,000,588 | ---- | C] () -- C:\Users\***(user)***\Desktop\***progamm***.lnk [2010.05.24 18:56:11 | 000,009,385 | ---- | C] () -- C:\Users\***(user)***\***bild***.pcx [2010.05.24 18:21:31 | 000,000,901 | ---- | C] () -- C:\Users\Public\Desktop\***progamm***.lnk [2010.05.17 23:52:15 | 000,020,480 | ---- | C] () -- C:\Users\***(user)***\Documents\***.doc [2010.05.13 15:35:24 | 000,000,153 | ---- | C] () -- C:\Users\***(user)***\Documents\***.wsp [2010.05.13 15:31:27 | 000,000,000 | ---- | C] () -- C:\Windows\PROTOCOL.INI [2010.04.26 18:59:44 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll [2010.04.26 18:59:44 | 000,036,640 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys [2010.03.08 05:14:01 | 000,027,136 | ---- | C] () -- C:\Windows\System32\QTUninst.dll [2010.03.08 05:06:57 | 000,000,298 | ---- | C] () -- C:\Windows\SIERRA.INI [2010.03.08 04:56:27 | 000,009,136 | ---- | C] () -- C:\Windows\System32\INETWH16.DLL [2009.06.11 13:43:37 | 000,406,528 | ---- | C] () -- C:\Windows\System32\msvcp60.dll [2009.06.11 13:43:20 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2008.07.25 12:22:11 | 000,244,224 | ---- | C] () -- C:\Windows\System32\audiodev.dll [2008.06.13 13:41:11 | 000,000,197 | ---- | C] () -- C:\Windows\Wininit.ini [2008.01.31 18:43:09 | 000,000,145 | ---- | C] () -- C:\Windows\BRVIDEO.INI [2008.01.31 18:43:09 | 000,000,023 | ---- | C] () -- C:\Windows\Brownie.ini [2008.01.31 18:43:09 | 000,000,000 | ---- | C] () -- C:\Windows\brmx2001.ini [2008.01.31 18:43:08 | 000,000,114 | ---- | C] () -- C:\Windows\System32\brlmw03a.ini [2008.01.31 18:43:07 | 000,008,975 | ---- | C] () -- C:\Windows\HL-2030.INI [2008.01.31 18:41:28 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI [2007.12.05 16:05:04 | 000,383,238 | ---- | C] () -- C:\Windows\System32\libmp3lame-0.dll [2007.12.02 09:33:25 | 000,000,052 | ---- | C] () -- C:\Windows\Relax.ini [2007.10.25 17:26:10 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys [2007.09.16 03:24:51 | 000,278,728 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys [2007.09.16 03:24:50 | 000,018,048 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys [2007.09.15 15:21:31 | 000,765,952 | ---- | C] () -- C:\Windows\System32\xvidcore.dll [2007.09.15 15:21:31 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll [2007.09.14 15:33:44 | 000,069,632 | ---- | C] () -- C:\Windows\System32\xmltok.dll [2007.09.14 15:33:44 | 000,036,864 | ---- | C] () -- C:\Windows\System32\xmlparse.dll [2007.09.13 16:11:38 | 000,010,240 | ---- | C] () -- C:\Windows\System32\vidx16.dll [2007.09.02 20:28:01 | 000,137,344 | ---- | C] () -- C:\Windows\System32\drivers\hwpsgt.sys [2007.09.02 20:28:01 | 000,009,472 | ---- | C] () -- C:\Windows\System32\drivers\lemsgt.sys [2007.08.22 23:07:42 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll [2007.08.21 20:25:01 | 000,000,002 | ---- | C] () -- C:\Windows\msoffice.ini [2007.08.21 00:04:46 | 000,021,840 | ---- | C] () -- C:\Windows\System32\SIntfNT.dll [2007.08.21 00:04:46 | 000,017,212 | ---- | C] () -- C:\Windows\System32\SIntf32.dll [2007.08.21 00:04:46 | 000,012,067 | ---- | C] () -- C:\Windows\System32\SIntf16.dll [2007.08.20 23:34:59 | 000,000,951 | ---- | C] () -- C:\Windows\ODBC.INI [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.04.27 11:24:24 | 000,394,240 | ---- | C] () -- C:\Windows\System32\Smab.dll [2005.07.14 13:31:20 | 000,027,648 | RHS- | C] () -- C:\Windows\System32\AVSredirect.dll [2005.06.21 23:37:42 | 000,045,568 | RHS- | C] () -- C:\Windows\System32\cygz.dll [2002.06.06 03:01:58 | 000,029,696 | ---- | C] () -- C:\Windows\System32\asutl8.dll [1999.04.30 00:00:00 | 000,065,536 | ---- | C] () -- C:\Windows\System32\MSRTEDIT.DLL ========== LOP Check ========== [2010.03.04 15:57:31 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Anvil Studio [2010.03.12 01:07:05 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ASCOMP Software [2007.09.16 02:36:42 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\CrystalSpace [2010.04.23 01:45:03 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\cYo [2007.09.13 00:14:36 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\DeepBurner [2010.03.23 14:39:48 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\deluge [2010.05.10 15:28:51 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\elsterformular [2008.04.18 04:45:38 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\FLV Extract [2009.08.22 12:17:14 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Foxit [2010.06.03 18:59:34 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\gtk-2.0 [2008.05.14 14:30:00 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ICAClient [2010.06.10 17:45:09 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ICQ [2008.04.27 20:24:03 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ICQ Toolbar [2008.01.30 19:41:19 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ID3 renamer [2007.08.21 01:07:59 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ImgBurn [2007.08.21 00:21:57 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Leadertech [2010.04.26 19:48:47 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ML [2008.06.14 11:17:47 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\PiX-ART.com [2008.08.04 00:03:02 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\PoolSharks [2008.11.14 17:26:25 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\REAPER [2010.04.26 18:59:27 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Samsung [2007.09.30 20:27:51 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\ScummVM [2007.08.22 21:46:13 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Smart PC Solutions [2007.08.27 12:41:52 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Strokes 4.0 [2009.06.17 13:59:44 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\Template [2010.05.14 14:19:34 | 000,000,000 | ---D | M] -- C:\Users\***(user)***\AppData\Roaming\WordToPDF [2010.06.11 11:25:45 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:CC9DD8FE < End of report > |
|
11.06.2010, 16:57
| #2 |
| | Trojanerverdacht - Google-Umleitung - behoben? Hier noch das OTL Extras Log:
__________________Code:
ATTFilter OTL Extras logfile created on: 11.06.2010 11:43:19 - Run 1
OTL by OldTimer - Version 3.2.6.0 Folder = C:\Users\***(user)***\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18904)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.022,00 Mb Total Physical Memory | 328,00 Mb Available Physical Memory | 32,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 60,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 228,00 Gb Total Space | 31,76 Gb Free Space | 13,93% Space Free | Partition Type: NTFS
Drive D: | 4,88 Gb Total Space | 1,46 Gb Free Space | 29,96% Space Free | Partition Type: NTFS
Drive E: | 456,71 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [ID3 renamer] -- "C:\Program Files\ID3 renamer\renamer.exe" "%1" (Jiri {x2} Cincura)
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1DCC65BF-50C7-4C0C-BB23-D59EC9BCF8B6}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{3B29E25F-C582-4104-909E-5A6381F15912}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{40C207B6-451B-46A9-972F-F8BFDF39B2B1}" = lport=2869 | protocol=6 | dir=in | app=system |
"{6F1718D4-26FB-4E84-A91C-B6572F4F1CD0}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{C750CC1F-1594-404F-BDC9-75B2B24EA23A}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{CDED78F8-E2C2-499D-B607-011C268231C4}" = rport=2869 | protocol=6 | dir=out | app=system |
"{DF8FD1E0-19AE-4009-8570-F89D55C15F10}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{E2154762-0FB7-45D6-A490-817EC4230B15}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0A7B275E-2302-4ECD-AC33-70882FC77822}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{0C4E07C4-F523-436F-A86E-C175DAA7D1E9}" = protocol=6 | dir=in | app=c:\users\***\appdata\local\temp\wzse0.tmp\symnrt.exe |
"{15474FAC-866B-4FE3-98BF-5DDB414489A7}" = protocol=17 | dir=in | app=c:\program files\common files\aol\acs\aolacsd.exe |
"{28C6A7E2-8775-4AA5-B0B5-DB38EED66DDA}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main_amdxp.exe |
"{2D99851F-C353-403D-B2B2-7CE156FF3C3E}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe |
"{33AA0E09-4DE4-4E96-8069-D365CCB1C4C9}" = protocol=17 | dir=in | app=c:\program files\common files\aol\topspeed\3.0\aoltpsd3.exe |
"{500D8F95-C23A-45B6-8BB2-BD967367C662}" = protocol=6 | dir=in | app=c:\program files\common files\aol\topspeed\3.0\aoltpsd3.exe |
"{58993D3D-905D-46BE-87AD-989229747C9F}" = protocol=6 | dir=in | app=c:\program files\common files\aol\system information\sinf.exe |
"{5A64F8FC-0EE0-4D1D-9CBE-CFAD750B9D51}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe |
"{5DDC070A-C2DF-4243-98B7-10FC68F8A9D2}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main.exe |
"{667E66F6-E8D8-49B4-B037-70EE3556D860}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe |
"{73557674-0296-44FF-A77C-3EE5CA79498F}" = protocol=6 | dir=in | app=c:\program files\aol 9.0 vr\waol.exe |
"{792BCB12-A546-4E70-A4EF-9E795BFC277C}" = protocol=17 | dir=in | app=c:\program files\common files\aol\system information\sinf.exe |
"{7A1969EF-82BE-43A0-B6EB-E6E3A4FAEC4F}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwupdate.exe |
"{7CEC8E6B-78B8-4624-9751-B8F0F6FEFFB6}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 |
"{8B58E530-861F-4601-ACB2-80BEF267223F}" = protocol=6 | dir=in | app=c:\program files\common files\aol\loader\aolload.exe |
"{9064A722-D803-4AB1-BAC7-41080D09BB02}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe |
"{A997D5BC-FAC3-4DFB-BE13-AE9CB9647766}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main.exe |
"{A9B84398-1BA8-4078-A320-87BBC8DE0BBA}" = protocol=17 | dir=in | app=c:\program files\common files\aol\loader\aolload.exe |
"{B187BA0C-76C0-4272-9F6D-005AE1AD5A3D}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2server.exe |
"{B7C0B9B2-E68B-46B7-B534-EE7E226A9EB9}" = protocol=17 | dir=in | app=c:\users\***(user)***\appdata\local\temp\wzse0.tmp\symnrt.exe |
"{CD9E5B07-875E-46EA-962B-FD6F91017312}" = protocol=17 | dir=in | app=c:\program files\common files\aol\acs\aoldial.exe |
"{D3506074-5FD5-452A-8206-E992CDC462F7}" = protocol=6 | dir=in | app=c:\program files\common files\aol\acs\aoldial.exe |
"{D6533ED0-9EE4-43F0-8371-0DC9629BCDA9}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{E023F466-FCBA-4544-AFA5-B7FD8BEE982B}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwupdate.exe |
"{E835566B-0992-48DE-98F3-A8CAB466CC19}" = protocol=17 | dir=in | app=c:\program files\aol 9.0 vr\waol.exe |
"{EC842A1D-D470-496F-8B10-1CF9FE7BEF02}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2server.exe |
"{F8587921-8CB3-4FB2-970F-0A1CE476A57D}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main_amdxp.exe |
"{F8D738C2-81A2-491E-9128-F6594C085A28}" = protocol=6 | dir=in | app=c:\program files\common files\aol\acs\aolacsd.exe |
"TCP Query User{2FF730AC-DCD1-4CD4-8C63-B5AA249B41BE}C:\program files\utorrent\utorrent.exe" = protocol=6 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"TCP Query User{357F08E8-348C-4763-A029-0E33D5486AE6}C:\program files\icq6\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6\icq.exe |
"TCP Query User{3D91CDD2-8D82-4F11-9F87-8F8402C4BFB2}C:\neverwinternights\nwn\project q install\rsync.exe" = protocol=6 | dir=in | app=c:\neverwinternights\nwn\project q install\rsync.exe |
"TCP Query User{3F9A8E59-C5D2-4005-A7BF-90153B9BC77B}C:\neverwinternights\nwn\nwserver.exe" = protocol=6 | dir=in | app=c:\neverwinternights\nwn\nwserver.exe |
"TCP Query User{4F0C23FB-FD16-4489-AFF7-CE238916BE10}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe |
"TCP Query User{5A6A414B-9750-423A-8576-1DB7179FA20D}C:\program files\deluge\deluge-python\deluge.exe" = protocol=6 | dir=in | app=c:\program files\deluge\deluge-python\deluge.exe |
"TCP Query User{6279C65D-3A84-4FF6-841E-D35BB9B465B8}C:\neverwinternights\nwn\nwmain.exe" = protocol=6 | dir=in | app=c:\neverwinternights\nwn\nwmain.exe |
"TCP Query User{63C13E3C-FC8D-44C6-81B7-3925CBA11384}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe |
"TCP Query User{6466DFCF-1015-4166-BF6A-F66FE5AC5697}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe |
"TCP Query User{8A8D5B8F-49CE-47FE-B744-E3DD90683CE6}C:\program files\java\jre6\bin\java.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\java.exe |
"TCP Query User{A0DB8CD8-DB4A-4665-B951-03D0024D6FAF}C:\program files\media player classic\mplayerc.exe" = protocol=6 | dir=in | app=c:\program files\media player classic\mplayerc.exe |
"TCP Query User{A62BDC27-3843-4775-A8EB-18A97FD37924}C:\program files\ea games\american mcgee's alice\alice.exe" = protocol=6 | dir=in | app=c:\program files\ea games\american mcgee's alice\alice.exe |
"TCP Query User{EAC3952E-4B0A-4805-A013-6132B6A87BE9}C:\spiele\snes\snes9x.exe" = protocol=6 | dir=in | app=c:\spiele\snes\snes9x.exe |
"TCP Query User{F038F923-C15A-4E3E-B543-7BBEF1AE950F}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{0C2F8CC6-FDEB-4B5A-A944-12A6DB57A6FD}C:\program files\deluge\deluge-python\deluge.exe" = protocol=17 | dir=in | app=c:\program files\deluge\deluge-python\deluge.exe |
"UDP Query User{2B9594EF-A8E8-4678-ACF3-C39AB91429CF}C:\program files\ea games\american mcgee's alice\alice.exe" = protocol=17 | dir=in | app=c:\program files\ea games\american mcgee's alice\alice.exe |
"UDP Query User{3FC96092-DA85-4BED-B443-2B64CB3A2269}C:\neverwinternights\nwn\nwserver.exe" = protocol=17 | dir=in | app=c:\neverwinternights\nwn\nwserver.exe |
"UDP Query User{46C62321-BAFA-46BD-8E6C-99C9C11C886C}C:\program files\media player classic\mplayerc.exe" = protocol=17 | dir=in | app=c:\program files\media player classic\mplayerc.exe |
"UDP Query User{5D6B4FFD-142C-4EAE-A0C7-922ECB70095B}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe |
"UDP Query User{A3BEC221-C394-4CBD-AECA-7D26CEAD98B1}C:\neverwinternights\nwn\nwmain.exe" = protocol=17 | dir=in | app=c:\neverwinternights\nwn\nwmain.exe |
"UDP Query User{A425FD60-991B-4852-B25B-45DC3642999A}C:\spiele\snes\snes9x.exe" = protocol=17 | dir=in | app=c:\spiele\snes\snes9x.exe |
"UDP Query User{B5B53FDD-BFDE-4230-9E06-93285EF4A94A}C:\program files\icq6\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6\icq.exe |
"UDP Query User{BE6049FC-F4A9-42D4-BACC-BACA14D6A752}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe |
"UDP Query User{CF8637B5-DE2E-4902-B991-A3A7AD1E7721}C:\program files\utorrent\utorrent.exe" = protocol=17 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"UDP Query User{D20B7986-369E-4D68-AD2A-0BF37CB3B970}C:\program files\java\jre6\bin\java.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\java.exe |
"UDP Query User{E8B2A1E1-E830-4532-B8BC-79B4BF5E3F17}C:\neverwinternights\nwn\project q install\rsync.exe" = protocol=17 | dir=in | app=c:\neverwinternights\nwn\project q install\rsync.exe |
"UDP Query User{EE0A995A-FE82-49A9-9415-65D8D2A1CB41}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe |
"UDP Query User{F0F8653C-F6E6-41E2-8D14-95BFA915D6E5}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08E9C35A-A0AE-43FA-AEA1-E4F58A87FBD1}" = Arcanum
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1ADE23D7-7A1E-4AEC-BA5D-EB8A01BED943}" = DeepBurner v1.8.0.224
"{1DEE433C-F903-44b5-821A-1E10D5DD1B3C}_is1" = Fortop SWF Resources Extractor 2.0
"{1E99F5D7-4262-4C7C-9135-F066E7485811}" = System Requirements Lab
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}" = Microsoft XNA Framework Redistributable 3.0
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{44CDBD1B-89FB-4E02-8319-2A4C550F664A}" = RTC Client API v1.2
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{79896C28-C277-42d5-990A-D98E10682654}" = Titan Quest
"{7B982C94-7097-499D-84A7-EA7C12D4CE9A}_is1" = Book of Unwritten Tales Demo 1.0.0.0
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{8DC42D05-680B-41B0-8878-6C14D24602DB}" = QuickTime
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{94056AE8-EF0F-45E4-A1B4-D754115F8A28}" = Numedia CD-DVD writing as non-admin user
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{AFE83615-88BE-47F6-B3E4-A3FEF8B7B57F}_is1" = xrecode II 1.0.0.68
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B9DB9E25-3315-4386-BFBF-75178A53C13C}" = Brother HL-2030
"{C1583439-B034-4881-819C-D52A0587662B}" = Neverwinter Nights
"{CA532E73-1BB7-11D8-9D6A-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.1_07
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}" = WinZip 11.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}" = Samsung PC Studio 3 USB Driver Installer
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F20C1251-1D0A-4944-B2AE-678581B33B19}" = Neverwinter Nights 2
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"7-Zip" = 7-Zip 4.65
"Abe's Oddysee" = Abe's Oddysee
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"AmoK DVD Shrinker" = AmoK DVD Shrinker 1.3
"AOL Deinstallation" = AOL Deinstallation
"AsUninst.exe" = Anvil Studio
"Audacity_is1" = Audacity 1.2.6
"Audio Video To Wav Converter_is1" = Audio Video To Wav Converter version 1.21
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Bink and Smacker" = Bink and Smacker
"BSW" = BrettspielWelt
"BurnAware Free_is1" = BurnAware Free 2.3.3
"CCleaner" = CCleaner (remove only)
"CEP v1.52_is1" = CEP v1.52
"Ceville Demo" = Ceville Demo 1.0
"ClearProg" = ClearProg 1.5.0 Final
"DARK EARTH" = DARK EARTH
"Desperados 1.0" = Desperados 1.0
"D-Fend v2" = D-Fend v2
"Diablo II" = Diablo II
"DVDStyler_is1" = DVDStyler v1.5.1
"Efficient WMA MP3 Converter_is1" = Efficient WMA MP3 Converter v0.99.2
"ElsterFormular 11.4.1.4323" = ElsterFormular
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"Exult" = Exult Version 1.2
"FLV Player1.33 FC" = FLV Player
"Foxit Reader" = Foxit Reader
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"FreePDF_XP" = FreePDF XP (Remove only)
"GUI for dvdauthor" = GUI for dvdauthor 0.99
"HalloweenPatch" = HalloweenPatch 1.2
"HDD-Booster_is1" = HDD-Booster v1.0
"Heart Of Darkness" = Heart Of Darkness
"HijackThis" = HijackThis 2.0.2
"id3renamer.cincura.net_is1" = ID3 renamer 2.15.15
"ImgBurn" = ImgBurn (Remove Only)
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"IrfanView" = IrfanView (remove only)
"Java Web Start" = Java Web Start
"LucasArts' Monkey4" = LucasArts' Monkey4
"LucasArts' Outlaws" = LucasArts' Outlaws
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaMonkey_is1" = MediaMonkey 3.0
"MetaFrame Presentation Server Web Client for Win32" = MetaFrame Presentation Server Webclient für Win32
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Miles Sound Tools" = Miles Sound Tools
"Mission To Mars_is1" = Mission To Mars
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Neverwinter Nights(TM) Kingmaker" = BioWare Premium Module: Neverwinter Nights(TM) Kingmaker
"NoteKeeper" = NoteKeeper (remove only)
"NVIDIA Drivers" = NVIDIA Drivers
"NW Portrait Manager (NW Spider)_is1" = NW Spider
"OpenAL" = OpenAL
"PaperCut Print Logger_is1" = PaperCut Print Logger 1.4
"Planescape - Torment" = Planescape - Torment
"PRC Pack" = PRC Pack
"QuickTime 3.0" = QuickTime 3.0
"RealAlt_is1" = Real Alternative 1.52
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Runaway - A road adventure_is1" = Runaway - A road adventure 1.00
"Sam and Max - Season One" = Sam and Max - Season One 1.0
"Sierra-Dienstprogramme" = Sierra-Dienstprogramme
"SystemRequirementsLab" = System Requirements Lab
"Teachmaster 4.0" = Teachmaster 4.0 (nur Entfernen)
"tento.XT_is1" = tento.XT v1.1
"Throne of Darkness" = Throne of Darkness
"Tomb Raider: Anniversary Demo" = Tomb Raider: Anniversary Demo 1.0
"Tomb Raider: Legend Demo" = Tomb Raider: Legend Demo 1.2
"Tony Tough and The Night of Roasted Moths" = Tony Tough and The Night of Roasted Moths
"TreeSize Free_is1" = TreeSize Free V1.78
"Uninstall_is1" = Uninstall 1.0.0.1
"ViewpointMediaPlayer" = Viewpoint Media Player
"VLC media player" = VideoLAN VLC media player 0.8.6c
"Vokabeln 2000" = Vokabeln 2000
"voxware_is1" = Voxware Audio decoder 1.6
"WinAce Archiver" = WinAce Archiver
"Winamp" = Winamp (remove only)
"WinGimp-2.0_is1" = GIMP 2.6.8
"WinRAR archiver" = WinRAR
"WinSTon" = WinSTon Emulator v0.5
"WordToPDF_is1" = WordToPDF 2.4
"Xaldon WebSpider 2" = Xaldon WebSpider 2
"XTTB00001.XTTB00001Toolbar" = ICQ Toolbar
"Zak McKracken - Between Time and Space" = Zak McKracken - Between Time and Space
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 05.11.2008 05:59:41 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 05.11.2008 05:59:43 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 05.11.2008 05:59:43 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 05.11.2008 11:10:08 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung firefox.exe, Version 1.9.0.3188, Zeitstempel
0x48dae60e, fehlerhaftes Modul xul.dll, Version 1.9.0.3188, Zeitstempel 0x48dae678,
Ausnahmecode 0xc0000005, Fehleroffset 0x003139df, Prozess-ID 0xf48, Anwendungsstartzeit
01c93f44b02d3f1b.
Error - 09.11.2008 21:04:20 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung nwmain.exe, Version 1.6.9.0, Zeitstempel 0x486cfadc,
fehlerhaftes Modul ntdll.dll, Version 6.0.6001.18000, Zeitstempel 0x4791a7a6, Ausnahmecode
0xc0000005, Fehleroffset 0x000659c3, Prozess-ID 0x1f8, Anwendungsstartzeit 01c942d02ba84714.
Error - 15.11.2008 18:25:24 | Computer Name = *** | Source = EventSystem | ID = 4609
Description =
Error - 15.11.2008 19:52:33 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Programm MediaMonkey.exe, Version 3.0.4.1185 arbeitet nicht mehr mit
Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet
"Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen
über das Problem zu suchen. Prozess-ID: dc0 Anfangszeit: 01c94774d7385c20 Zeitpunkt
der Beendigung: 32
Error - 21.11.2008 14:08:08 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Programm firefox.exe, Version 1.9.0.3224 arbeitet nicht mehr mit Windows
zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen
für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem
zu suchen. Prozess-ID: e94 Anfangszeit: 01c94bdcd08c7dca Zeitpunkt der Beendigung:
390
Error - 21.11.2008 15:22:54 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Programm firefox.exe, Version 1.9.0.3224 arbeitet nicht mehr mit Windows
zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen
für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem
zu suchen. Prozess-ID: c Anfangszeit: 01c94c041deb8d0a Zeitpunkt der Beendigung: 303
Error - 22.11.2008 17:27:22 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung nwmain.exe, Version 1.6.9.0, Zeitstempel 0x486cfadc,
fehlerhaftes Modul nwmain.exe, Version 1.6.9.0, Zeitstempel 0x486cfadc, Ausnahmecode
0xc0000005, Fehleroffset 0x0007a914, Prozess-ID 0x3b8, Anwendungsstartzeit 01c94cdd5a2e6cfe.
[ System Events ]
Error - 10.06.2010 21:59:03 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description =
Error - 10.06.2010 21:59:03 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description =
Error - 10.06.2010 21:59:43 | Computer Name = *** | Source = Service Control Manager | ID = 7016
Description =
Error - 11.06.2010 04:10:47 | Computer Name = *** | Source = ipnathlp | ID = 34001
Description = ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.
Error - 11.06.2010 04:11:42 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description =
Error - 11.06.2010 04:11:42 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description =
Error - 11.06.2010 05:27:20 | Computer Name = *** | Source = ipnathlp | ID = 34001
Description = ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.
Error - 11.06.2010 05:28:24 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description =
Error - 11.06.2010 05:28:24 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description =
Error - 11.06.2010 05:41:00 | Computer Name = *** | Source = ipnathlp | ID = 31004
Description = 0 Bytes Speicher konnten durch den DNS-Proxy-Agenten nicht zugeordnet
werden. Möglicherweise ist nicht genügend Speicher vorhanden oder ein interner
Fehler ist im Speicher-Manager aufgetreten.
< End of report >
Und das HijackThis Protokoll: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:37:36, on 11.06.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18928) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\FreePDF_XP\fpassist.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe C:\Windows\system32\wuauclt.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\WerCon.exe C:\Users\***(user)***\Downloads\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.perlentaucher.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{01468553-7E3C-4023-9E58-49B70A349815}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{01468553-7E3C-4023-9E58-49B70A349815}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\Common Files\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PaperCut Print Logger (PCPrintLogger) - PaperCut Software International Pty Ltd - C:\Program Files\PaperCut Print Logger\pcpl.exe -- End of file - 6447 bytes [/code] |
|
21.06.2010, 09:05
| #3 | |
| | Trojanerverdacht - Google-Umleitung - behoben?Zitat:
hxxp://forum.de.selfhtml.org/?t=198273&m=1331107 Die Datei bei Dir heißt zwar anders, aber es ist der selbe Muster zu erkennen. Du kannst systemweit nach dieser »oqmmyn.dll« suchen und sie mit The Avenger entfernen. Jean-Max |
|
| Themen zu Trojanerverdacht - Google-Umleitung - behoben? |
| 0 bytes, 0x00000001, adblock, alternate, antivir, antivir guard, audiodg.exe, aufgehängt, avgntflt.sys, black, browser, cleansweep.exe, components, computer, corp./icp, desktop, dubios, dwm.exe, error, falsche seite, festplatte, festplatte formatieren, firefox, firefox.exe, fontcache, google, google links umgeleitet, helper, hijack, hijack.startmenu, home, home premium, java-virus, jusched.exe, local\temp, location, logfile, malware gefunden, maßnahme, nt.dll, nvlddmkm.sys, nvstor.sys, oldtimer, otl.exe, plug-in, problem, programdata, programm, realtek, safer networking, searchplugins, server, software, starten, studio, suchlauf, suspekt, svchost.exe, systemcheck, trojan.dropper, trojaner, versteckte objekte, verweise, virus, virus gefunden, vista, was tun, windows, wuauclt.exe, zugriff verweigert |
Linear-Darstellung
