| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.07.2010, 14:12
| #1 |
| |  trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen Hallo, Antivir hat auf dem rechner die trojaner TR/PSW.Zbot.128000.Y.3, TR/PCK.Katusha.O.157 und TR/Agent.ahe sowie etliche versteckte dateien gefunden. Ebenso wurde das Onlinebanking angegriffen und musste gesperrt werden. Antivir hat die dateien nach einem suchlauf in den quarantäneordner verschoben. ich bin mir nicht sicher wie ich jetzt weiter verfahren soll um die dateien richtig zu beseitigen und den computer (Laptop) wieder sicher zu bekommen bevor man wieder onlinebanking machen kann. ich bitte euch mir zu helfen bzw zu sagen welche schritte dafür notwendig sind. anbei noch die log datei vom antivir suchlauf. herzlichen dank schonmal und LG Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. Juli 2010 12:21
Es wird nach 2581167 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRISTOPH-PC
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 13:38:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:38:28
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:38:28
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:36:53
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:38:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:32:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:51:33
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:38:07
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:37:45
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 19:37:45
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 19:37:45
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 19:37:46
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 19:37:46
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 19:37:46
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 20:56:38
VBASE014.VDF : 7.10.9.230 121856 Bytes 28.07.2010 08:38:32
VBASE015.VDF : 7.10.9.231 2048 Bytes 28.07.2010 08:38:32
VBASE016.VDF : 7.10.9.232 2048 Bytes 28.07.2010 08:38:33
VBASE017.VDF : 7.10.9.233 2048 Bytes 28.07.2010 08:38:33
VBASE018.VDF : 7.10.9.234 2048 Bytes 28.07.2010 08:38:34
VBASE019.VDF : 7.10.9.235 2048 Bytes 28.07.2010 08:38:34
VBASE020.VDF : 7.10.9.236 2048 Bytes 28.07.2010 08:38:34
VBASE021.VDF : 7.10.9.237 2048 Bytes 28.07.2010 08:38:35
VBASE022.VDF : 7.10.9.238 2048 Bytes 28.07.2010 08:38:35
VBASE023.VDF : 7.10.9.239 2048 Bytes 28.07.2010 08:38:36
VBASE024.VDF : 7.10.9.240 2048 Bytes 28.07.2010 08:38:36
VBASE025.VDF : 7.10.9.241 2048 Bytes 28.07.2010 08:38:37
VBASE026.VDF : 7.10.9.242 2048 Bytes 28.07.2010 08:38:37
VBASE027.VDF : 7.10.9.243 2048 Bytes 28.07.2010 08:38:37
VBASE028.VDF : 7.10.9.244 2048 Bytes 28.07.2010 08:38:38
VBASE029.VDF : 7.10.9.245 2048 Bytes 28.07.2010 08:38:38
VBASE030.VDF : 7.10.9.246 2048 Bytes 28.07.2010 08:38:39
VBASE031.VDF : 7.10.9.251 29184 Bytes 29.07.2010 08:38:39
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 20:48:05
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 15:05:30
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 20:54:12
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 20:48:05
AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 15:04:13
AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 15:03:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 18:35:10
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 15:01:00
AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 15:00:02
AEGEN.DLL : 8.1.3.17 385396 Bytes 21.07.2010 18:35:02
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 20:48:04
AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 14:58:41
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 20:48:04
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 21:09:54
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:28:42
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 13:38:27
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,
Beginn des Suchlaufs: Donnerstag, 29. Juli 2010 12:21
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\users\**\gesicherte musik\_avt
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cb257a6.qua erstellt ( QUARANTÄNE )
c:\users\**\gesicherte musik\_lit
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cbd57a6.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes dokument\_avt
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cb257a7.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes dokument\_lit
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cbd57a7.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes video\_avt
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cb257a8.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes video\_lit
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cbd57a9.qua erstellt ( QUARANTÄNE )
c:\users\**\gesicherte musik
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cc457b0.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes dokument
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b5f9621.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes video
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cc457b1.qua erstellt ( QUARANTÄNE )
Es wurden '111509' Objekte überprüft, '9' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxczcoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GtDetectSc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'web'n'walk Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBKeyScan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASScrPro.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'P4P.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASPG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsLdrSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smartlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '87' Prozesse mit '87' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <VistaOS>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\**\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5YCU0U4A\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <DATA>
Ende des Suchlaufs: Donnerstag, 29. Juli 2010 13:23
Benötigte Zeit: 1:01:57 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
21996 Verzeichnisse wurden überprüft
551762 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
551760 Dateien ohne Befall
3627 Archive wurden durchsucht
4 Warnungen
11 Hinweise
111509 Objekte wurden beim Rootkitscan durchsucht
9 Versteckte Objekte wurden gefunden
|
|
29.07.2010, 15:03
| #2 |
| /// Malware-holic   | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen hallo, hier sind die fundmeldungen leider nicht zu sehen, wenns mit dem scanner gefunden wurde, dann schau unter reports, wenn der guard die funde gemacht hatt, unter ereignisse.
__________________das aller sicherste währe, den pc neu aufzusetzen, passwörter endern und dann besser absichern, wobei ich dich natürlich beraten werde. außerdem solltest du dich dringenst von der bank beraten lassen welche sichereren onlinebanking verfahren es gibt, die kosten zwar einmalig etwas, aber sind wesendlich sicherer, pin/tan ist nicht mehr das gelbe vom ei. Ich möchte aber, befor du formatierst, falls du formatierst, trotzdem einen blick auf dein system werfen, um evtl. neue unbekannte dateien einzusammeln. Auch wenn du nicht formatierst wäre dass dann nötig :-) ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide logs |
|
29.07.2010, 18:11
| #3 |
| | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen okay dann wird es wohl auf neu machen des rechners hinauslaufen denk ich mal. ist der laptop meines stiefvaters, werd es mal mit ihm besprechen.
__________________hab bei antivir noch was unter ereignisse und einen älteren scanlog gefunden geb ich dir auch mal. den anderen scan hab ich auch gemacht. antivir scan log Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Juli 2010 20:56
Es wird nach 2578598 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRISTOPH-PC
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 13:38:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:38:28
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:38:28
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:36:53
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:38:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:32:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:51:33
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:38:07
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:37:45
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 19:37:45
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 19:37:45
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 19:37:46
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 19:37:46
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 19:37:46
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 20:56:38
VBASE014.VDF : 7.10.9.199 2048 Bytes 26.07.2010 20:56:38
VBASE015.VDF : 7.10.9.200 2048 Bytes 26.07.2010 20:56:38
VBASE016.VDF : 7.10.9.201 2048 Bytes 26.07.2010 20:56:38
VBASE017.VDF : 7.10.9.202 2048 Bytes 26.07.2010 20:56:38
VBASE018.VDF : 7.10.9.203 2048 Bytes 26.07.2010 20:56:38
VBASE019.VDF : 7.10.9.204 2048 Bytes 26.07.2010 20:56:38
VBASE020.VDF : 7.10.9.205 2048 Bytes 26.07.2010 20:56:39
VBASE021.VDF : 7.10.9.206 2048 Bytes 26.07.2010 20:56:39
VBASE022.VDF : 7.10.9.207 2048 Bytes 26.07.2010 20:56:39
VBASE023.VDF : 7.10.9.208 2048 Bytes 26.07.2010 20:56:39
VBASE024.VDF : 7.10.9.209 2048 Bytes 26.07.2010 20:56:39
VBASE025.VDF : 7.10.9.210 2048 Bytes 26.07.2010 20:56:39
VBASE026.VDF : 7.10.9.211 2048 Bytes 26.07.2010 20:56:39
VBASE027.VDF : 7.10.9.212 2048 Bytes 26.07.2010 20:56:39
VBASE028.VDF : 7.10.9.213 2048 Bytes 26.07.2010 20:56:39
VBASE029.VDF : 7.10.9.214 2048 Bytes 26.07.2010 20:56:39
VBASE030.VDF : 7.10.9.215 2048 Bytes 26.07.2010 20:56:40
VBASE031.VDF : 7.10.9.225 100864 Bytes 27.07.2010 20:56:46
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 20:48:05
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 15:05:30
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 20:54:12
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 20:48:05
AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 15:04:13
AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 15:03:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 18:35:10
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 15:01:00
AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 15:00:02
AEGEN.DLL : 8.1.3.17 385396 Bytes 21.07.2010 18:35:02
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 20:48:04
AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 14:58:41
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 20:48:04
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 21:09:54
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:28:42
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 13:38:27
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,
Beginn des Suchlaufs: Mittwoch, 28. Juli 2010 20:56
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\users\**\gesicherte musik\_avt
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cb17efe.qua erstellt ( QUARANTÄNE )
c:\users\**\gesicherte musik\_lit
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cbc7eff.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes dokument\_avt
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cb17eff.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes dokument\_lit
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cbc7f00.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes video\_avt
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cb17f00.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes video\_lit
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cbc7f01.qua erstellt ( QUARANTÄNE )
c:\users\**\gesicherte musik
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cc37f07.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes dokument
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cc37f08.qua erstellt ( QUARANTÄNE )
c:\users\**\gesichertes video
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 44e00e51.qua erstellt ( QUARANTÄNE )
Es wurden '111500' Objekte überprüft, '9' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxczcoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GtDetectSc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'web'n'walk Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBKeyScan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASScrPro.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'P4P.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASPG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsLdrSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smartlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '89' Prozesse mit '89' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <VistaOS>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\**\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\81YCN79H\a28f6[1]
[FUND] Ist das Trojanische Pferd TR/Agent.ahe
C:\Users\**\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5YCU0U4A\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\**\AppData\Local\Temp\tmp9faa6a92\rapport.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.O.157
C:\Users\**\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\5e42b790-1c9d9f11
[0] Archivtyp: ZIP
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Desinfektion:
C:\Users\**\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\81YCN79H\a28f6[1]
[FUND] Ist das Trojanische Pferd TR/Agent.ahe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c889139.qua' verschoben!
C:\Users\**\AppData\Local\Temp\tmp9faa6a92\rapport.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.O.157
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc09168.qua' verschoben!
C:\Users\**\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\5e42b790-1c9d9f11
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c84916c.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 28. Juli 2010 22:20
Benötigte Zeit: 1:00:28 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
21983 Verzeichnisse wurden überprüft
551866 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
551860 Dateien ohne Befall
3621 Archive wurden durchsucht
4 Warnungen
14 Hinweise
111500 Objekte wurden beim Rootkitscan durchsucht
9 Versteckte Objekte wurden gefunden
Code:
ATTFilter Exportierte Ereignisse:
29.07.2010 11:40 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Benyn\hypy.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Zbot.128000.Y.3' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
26.07.2010 23:37 [Guard] Malware gefunden
In der Datei
'C:\Users\**\AppData\Local\Mozilla\Firefox\Profiles\b8wou2yz.default\Cach
e\B3320EFFd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
26.07.2010 23:14 [Guard] Malware gefunden
In der Datei
'C:\Users\**\AppData\Local\Mozilla\Firefox\Profiles\b8wou2yz.default\Cach
e\A29346BAd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
26.07.2010 23:05 [Guard] Malware gefunden
In der Datei
'C:\Users\**\AppData\Local\Mozilla\Firefox\Profiles\b8wou2yz.default\Cach
e\55617BE5d01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 20:49 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 20:37 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 20:35 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 12:32 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 12:28 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 10:22 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 10:06 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 10:00 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
21.07.2010 00:04 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
20.07.2010 23:00 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 20:16 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 20:05 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 20:02 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:26 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:24 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:23 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:22 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:22 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:22 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
20.07.2010 17:22 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
16.07.2010 17:12 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Roaming\Azedy\awuh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.ahe' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
15.07.2010 19:44 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\97c87f4ddad29f48.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.fcn' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
15.07.2010 12:23 [Guard] Malware gefunden
In der Datei
'C:\Users\**\AppData\Local\Mozilla\Firefox\Profiles\b8wou2yz.default\Cach
e\06B1F461d01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
13.07.2010 16:09 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\ygqOhZTCSS.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Mufanom.wix' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
13.07.2010 16:08 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\erJsKagqIE.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.A.zaq.52224' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
13.07.2010 16:08 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\erJsKagqIE.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.A.zaq.52224' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern
13.07.2010 16:07 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\erJsKagqIE.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.A.zaq.52224' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern
11.07.2010 16:25 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\0.1247041904523617.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Siggen.A' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
11.07.2010 13:45 [Guard] Malware gefunden
In der Datei
'C:\Users\**\AppData\Local\Mozilla\Firefox\Profiles\b8wou2yz.default\Cach
e\B3320EFFd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
11.07.2010 13:23 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\plugtmp-2\plugin-'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pdfka.bys' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
11.07.2010 13:22 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\plugtmp-2\plugin-'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pdfka.bys' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
10.07.2010 15:38 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\plugtmp-1\plugin-'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pdfka.bys' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
10.07.2010 15:38 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\plugtmp-1\plugin-'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pdfka.bys' [exploit] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
10.07.2010 12:28 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\lYRJIJGmKr.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.93696.1' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
08.07.2010 11:29 [Guard] Malware gefunden
In der Datei
'C:\Users\**\AppData\Local\Mozilla\Firefox\Profiles\b8wou2yz.default\Cach
e\B3320EFFd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
08.07.2010 11:24 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Content.IE5\MOBMEA0W\setup[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
08.07.2010 11:24 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\iWUPgLVlCl.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
08.07.2010 11:24 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\iWUPgLVlCl.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
06.07.2010 19:51 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\d6c835afdd6f9a5c.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Agen.233472' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
06.07.2010 19:51 [Guard] Malware gefunden
In der Datei 'C:\Users\**\AppData\Local\Temp\d6c835afdd6f9a5c.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Agen.233472' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
|
|
29.07.2010, 18:12
| #4 |
| | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen so und hier die anderen logs. vielen dank für deine hilfe! OTL.txt Code:
ATTFilter OTL logfile created on: 29.07.2010 18:25:06 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Users\**\Downloads Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 7.0.6002.18005) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 53,00% Memory free 6,00 Gb Paging File | 5,00 Gb Available in Paging File | 77,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 116,44 Gb Total Space | 60,37 Gb Free Space | 51,84% Space Free | Partition Type: NTFS Drive D: | 106,68 Gb Total Space | 106,58 Gb Free Space | 99,91% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: **-PC Current User Name: ** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Users\**\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Program Files\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) PRC - C:\Windows\ASScrPro.exe () PRC - C:\Program Files\ASUS\ATK Media\DMedia.exe () PRC - C:\Program Files\P4P\P4P.exe () PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Program Files\ASUS\SmartLogon\smartlogon.exe (ASUS) PRC - C:\Program Files\ASUS\SmartLogon\sensorsrv.exe (ASUS) PRC - C:\Program Files\ASUS\ASUS Live Update\ALU.exe () PRC - C:\Program Files\ASUS\Splendid\ACMON.exe (ATK) PRC - C:\Program Files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe (T-Mobile) PRC - C:\Program Files\T-Mobile\web'n'walk Manager\GtDetectSc.exe (Option) PRC - C:\Program Files\ATKOSD2\ATKOSD2.exe () PRC - C:\Program Files\ATK Hotkey\Hcontrol.exe (ATK0100) PRC - C:\Program Files\ATK Hotkey\ASLDRSrv.exe () PRC - C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe () PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Program Files\P4G\BatteryLife.exe (ATK) PRC - C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.) PRC - C:\Program Files\ATK Hotkey\WDC.exe () PRC - C:\Program Files\ATK Hotkey\KBFiltr.exe () PRC - C:\Program Files\ATK Hotkey\ATKOSD.exe () PRC - C:\Program Files\ATKGFNEX\GFNEXSrv.exe () PRC - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe () PRC - C:\Program Files\Wireless Console 2\wcourier.exe () PRC - C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG) PRC - C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) PRC - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe (Nero AG) PRC - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe () PRC - C:\Windows\System32\lxczcoms.exe ( ) PRC - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Macrovision Corporation) PRC - C:\Windows\System32\ACEngSvr.exe (ASUSTeK) ========== Modules (SafeList) ========== MOD - C:\Users\**\Downloads\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation) MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (WPFFontCache_v0400) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (GtDetectSc) -- C:\Program Files\T-Mobile\web'n'walk Manager\GtDetectSc.exe (Option) SRV - (ASLDRService) -- C:\Program Files\ATK Hotkey\ASLDRSrv.exe () SRV - (ATKGFNEXSrv) -- C:\Program Files\ATKGFNEX\GFNEXSrv.exe () SRV - (spmgr) -- C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe () SRV - (ADSMService) -- C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe () SRV - (lxcz_device) -- C:\Windows\System32\lxczcoms.exe ( ) ========== Driver Services (SafeList) ========== DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.) DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.) DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation) DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.) DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems) DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company) DRV - (MODEMCSA) -- C:\Windows\System32\drivers\MODEMCSA.sys (Microsoft Corporation) DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.) DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic) DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation) DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation) DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.) DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation) DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic) DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic) DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.) DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex) DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.) DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation) DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation) DRV - (NETw3v32) Intel(R) -- C:\Windows\System32\drivers\NETw3v32.sys (Intel Corporation) DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.) DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.) DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.) DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.) DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (AtcL001) -- C:\Windows\System32\drivers\l160x86.sys (Atheros Communications, Inc.) DRV - (SNP2UVC) USB2.0 PC Camera (SNP2UVC) -- C:\Windows\System32\drivers\snp2uvc.sys () DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation) DRV - (lullaby) -- C:\Windows\system32\DRIVERS\lullaby.sys (Windows (R) Codename Longhorn DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.) DRV - (smserial) -- C:\Windows\System32\drivers\smserial.sys (Motorola Inc.) DRV - (AsDsm) -- C:\Windows\System32\drivers\AsDsm.sys (Windows (R) Codename Longhorn DDK provider) DRV - (rimmptsk) -- C:\Windows\System32\drivers\rimmptsk.sys (REDC) DRV - (ghaio) -- C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys () DRV - (rismxdp) -- C:\Windows\System32\drivers\rixdptsk.sys (REDC) DRV - (rimsptsk) -- C:\Windows\System32\drivers\rimsptsk.sys (REDC) DRV - (ASMMAP) -- C:\Program Files\ATKGFNEX\ASMMAP.sys () DRV - (GT72NDISIPXP) -- C:\Windows\System32\drivers\Gt51Ip.sys (Option NV) DRV - (GT72UBUS) -- C:\Windows\System32\drivers\gt72ubus.sys (Option N.V.) DRV - (NETw4v32) Intel(R) -- C:\Windows\System32\drivers\NETw4v32.sys (Intel Corporation) DRV - (GTPTSER) -- C:\Windows\System32\drivers\gtptser.sys (Option N.V.) DRV - (kbfiltr) -- C:\Windows\System32\drivers\kbfiltr.sys ( ) DRV - (MTsensor) -- C:\Windows\System32\drivers\ATKACPI.sys (ATK0100) DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation) DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.) DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation) DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.) DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.) DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.) DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic) DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic) DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation) DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.) DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.) DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.) DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies) DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.asus.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.asus.com IE - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.asus.com IE - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll File not found IE - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163" FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de/" FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 FF - HKLM\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.02.17 13:35:58 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.07.24 18:01:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.07.24 18:01:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.03.17 20:39:57 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2008.09.28 19:30:56 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\mozilla\Extensions [2010.07.29 11:12:06 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\mozilla\Firefox\Profiles\b8wou2yz.default\extensions [2010.07.22 09:14:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\**\AppData\Roaming\mozilla\Firefox\Profiles\b8wou2yz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.07.22 09:14:53 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\**\AppData\Roaming\mozilla\Firefox\Profiles\b8wou2yz.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2009.01.28 12:58:06 | 000,000,000 | ---D | M] (Mouse Gestures Redox) -- C:\Users\**\AppData\Roaming\mozilla\Firefox\Profiles\b8wou2yz.default\extensions\{FFA36170-80B1-4535-B0E3-A4569E497DD0} [2009.12.15 23:35:32 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions [2009.12.15 23:35:32 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\Program Files\mozilla firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402} [2009.12.15 23:35:33 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions\search@searchsettings.com [2010.06.24 19:49:47 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.06.24 19:49:47 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.06.24 19:49:47 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.06.24 19:49:47 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.06.24 19:49:47 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.05.19 16:02:50 | 000,000,817 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: autodiscover.omni-berlin.de autodiscover.freie-hypo.de O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (Spigot, Inc.) O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll File not found O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.) O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (Spigot, Inc.) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe () O4 - HKLM..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe () O4 - HKLM..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE () O4 - HKLM..\Run: [ATKOSD2] C:\Program Files\ATKOSD2\ATKOSD2.exe () O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [LexwareInfoService] C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) O4 - HKLM..\Run: [NBKeyScan] C:\Program Files\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [PowerForPhone] C:\Program Files\P4P\P4P.exe () O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe File not found O4 - HKLM..\Run: [Skytel] C:\Windows\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{20ACC2FE-5080-FE67-EBB9-8F8BFA3AEBDC}] C:\Users\**\AppData\Roaming\Hyetfo\invy.exe () O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{38B546C7-6969-5E4D-2667-428F35B36BDF}] C:\Users\**\AppData\Roaming\Benyn\hypy.exe File not found O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{3F3891BB-FA6A-4289-5A86-1C475BC3DCCB}] C:\Users\**\AppData\Roaming\Sipy\cebeu.exe () O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{A2F7B955-326A-CA67-11B4-B47CA34086C2}] C:\Users\**\AppData\Roaming\Xyab\asyki.exe File not found O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{F8433705-85A7-01ED-C274-1A9EF3D88763}] C:\Users\**\AppData\Roaming\Xook\nyiq.exe (As) O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [ISUSPM] C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Macrovision Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 0 O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.) O13 - gopher Prefix: missing O15 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000\..Trusted Domains: omni-berlin.de ([office] https in Vertrauenswürdige Sites) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\**\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\**\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{028682cd-e3f1-11dd-9bb9-0022158812b0}\Shell - "" = AutoRun O33 - MountPoints2\{028682cd-e3f1-11dd-9bb9-0022158812b0}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found O33 - MountPoints2\{35c07f11-162c-11df-8d97-001f3c616b3c}\Shell\AutoRun\command - "" = F:\programs\nu2menu\nu2menu.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: FastUserSwitchingCompatibility - File not found NetSvcs: Ias - File not found NetSvcs: Nla - File not found NetSvcs: Ntmssvc - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: SRService - File not found NetSvcs: Wmi - C:\Windows\System32\wmi.dll (Microsoft Corporation) NetSvcs: WmdmPmSp - File not found NetSvcs: LogonHours - File not found NetSvcs: PCAudit - File not found NetSvcs: helpsvc - File not found NetSvcs: uploadmgr - File not found SafeBootMin: AppMgmt - Service SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: HelpSvc - Service SafeBootMin: NTDS - File not found SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: sacsvr - Service SafeBootMin: SCSI Class - Driver Group SafeBootMin: System Bus Extender - Driver Group SafeBootMin: WinDefend - C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices SafeBootNet: AppMgmt - Service SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: HelpSvc - Service SafeBootNet: Messenger - Service SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: NTDS - File not found SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: rdsessmgr - Service SafeBootNet: sacsvr - Service SafeBootNet: SCSI Class - Driver Group SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: WinDefend - C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SafeBootNet: WudfPf - Driver SafeBootNet: WudfUsbccidDriver - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Program Files\Common Files\LightScribe\LSRunOnce.exe" ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0 ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP Drivers32: msacm.clmp3enc - C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM (CyberLink Corp.) Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.l3codecp - C:\Windows\System32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.) Drivers32: wave1 - C:\Windows\System32\serwvdrv.dll (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2007.01.24 12:08:39 | 000,005,632 | ---- | C] ( ) -- C:\Windows\System32\drivers\kbfiltr.sys [2006.12.20 20:08:24 | 000,643,072 | ---- | C] ( ) -- C:\Windows\System32\lxczpmui.dll [2006.12.20 20:06:58 | 001,224,704 | ---- | C] ( ) -- C:\Windows\System32\lxczserv.dll [2006.12.20 20:01:04 | 000,421,888 | ---- | C] ( ) -- C:\Windows\System32\lxczcomm.dll [2006.12.20 19:59:24 | 000,585,728 | ---- | C] ( ) -- C:\Windows\System32\lxczlmpm.dll [2006.12.20 19:58:02 | 000,397,312 | ---- | C] ( ) -- C:\Windows\System32\lxcziesc.dll [2006.12.20 19:55:40 | 000,094,208 | ---- | C] ( ) -- C:\Windows\System32\lxczpplc.dll [2006.12.20 19:54:54 | 000,684,032 | ---- | C] ( ) -- C:\Windows\System32\lxczcomc.dll [2006.12.20 19:54:20 | 000,163,840 | ---- | C] ( ) -- C:\Windows\System32\lxczprox.dll [2006.12.20 19:47:32 | 000,413,696 | ---- | C] ( ) -- C:\Windows\System32\lxczinpa.dll [2006.12.20 19:46:50 | 000,991,232 | ---- | C] ( ) -- C:\Windows\System32\lxczusb1.dll [2006.12.20 19:42:36 | 000,696,320 | ---- | C] ( ) -- C:\Windows\System32\lxczhbn3.dll ========== Files - Modified Within 30 Days ========== [2010.07.29 18:26:48 | 003,145,728 | -HS- | M] () -- C:\Users\**\NTUSER.DAT [2010.07.29 18:17:45 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2010.07.29 18:17:45 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2010.07.29 18:12:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.07.29 14:25:29 | 000,028,219 | ---- | M] () -- C:\Users\**\AppData\Roaming\nvModes.001 [2010.07.29 12:17:48 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT [2010.07.29 12:17:40 | 3220,430,848 | -HS- | M] () -- C:\hiberfil.sys [2010.07.29 12:16:42 | 000,524,288 | -HS- | M] () -- C:\Users\**\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms [2010.07.29 12:16:42 | 000,065,536 | -HS- | M] () -- C:\Users\**\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf [2010.07.29 12:16:39 | 001,907,005 | -H-- | M] () -- C:\Users\**\AppData\Local\IconCache.db [2010.07.28 22:24:55 | 000,029,184 | ---- | M] () -- C:\Users\**\Documents\Desktop\Der Suchlauf .doc [2010.07.28 19:32:16 | 000,000,426 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{DAB68CEA-F041-4386-BBA0-44555F98FA40}.job [2010.07.27 10:23:12 | 001,453,910 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI [2010.07.27 10:23:12 | 000,632,252 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.07.27 10:23:12 | 000,598,900 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.07.27 10:23:12 | 000,127,464 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.07.27 10:23:12 | 000,104,914 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.07.25 11:58:57 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe [2010.07.24 17:37:16 | 322,288,738 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010.07.16 13:49:03 | 000,028,672 | ---- | M] () -- C:\Users\**\Documents\Desktop\Prio.xls [2010.07.15 15:06:10 | 000,387,960 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2010.07.15 14:59:14 | 000,105,528 | ---- | M] () -- C:\Users\**\AppData\Local\GDIPFONTCACHEV1.DAT [2010.07.12 22:54:25 | 000,000,254 | ---- | M] () -- C:\Windows\win.ini [2010.07.10 10:32:28 | 000,000,000 | ---- | M] () -- C:\Users\**\AppData\Local\ebiyupunep.dll [2010.07.06 23:08:41 | 000,073,945 | ---- | M] () -- C:\Users\**\Documents\europace - Freie Hypo (chri....pdf [2010.06.29 20:54:04 | 000,028,219 | ---- | M] () -- C:\Users\**\AppData\Roaming\nvModes.dat ========== Files Created - No Company Name ========== [2010.07.28 22:24:54 | 000,029,184 | ---- | C] () -- C:\Users\**\Documents\Desktop\Der Suchlauf .doc [2010.07.16 13:46:06 | 3220,430,848 | -HS- | C] () -- C:\hiberfil.sys [2010.07.10 10:32:28 | 000,000,000 | ---- | C] () -- C:\Users\**\AppData\Local\ebiyupunep.dll [2010.07.06 23:08:41 | 000,073,945 | ---- | C] () -- C:\Users\**\Documents\europace - Freie Hypo (chri....pdf [2009.12.15 23:35:11 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2009.08.19 11:14:47 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2009.04.21 18:10:23 | 000,000,028 | ---- | C] () -- C:\Windows\AmbGenerali.ini [2009.04.21 17:54:09 | 000,000,028 | ---- | C] () -- C:\Windows\ODBC.INI [2009.04.08 16:25:44 | 000,364,544 | ---- | C] () -- C:\Windows\System32\BH_DATA120VC8.dll [2009.04.08 08:17:48 | 000,057,344 | ---- | C] () -- C:\Windows\System32\FKStampPainter20.dll [2009.02.02 21:11:40 | 000,208,896 | ---- | C] () -- C:\Windows\System32\LXPrnUtil10.dll [2009.02.02 20:10:14 | 000,303,104 | ---- | C] () -- C:\Windows\System32\dnt27VC8.dll [2009.02.02 20:08:36 | 000,090,112 | ---- | C] () -- C:\Windows\System32\dntvmc27VC8.dll [2009.02.02 20:08:22 | 000,086,016 | ---- | C] () -- C:\Windows\System32\dntvm27VC8.dll [2009.01.30 15:00:25 | 000,000,255 | ---- | C] () -- C:\Windows\Lexstat.ini [2008.09.25 21:37:10 | 000,000,024 | ---- | C] () -- C:\Windows\ATKPF.ini [2008.08.13 04:10:37 | 000,012,288 | ---- | C] () -- C:\Windows\impborl.dll [2008.07.23 17:41:16 | 000,344,064 | ---- | C] () -- C:\Windows\System32\BH_DATA110VC8.dll [2008.04.16 12:43:39 | 000,000,010 | ---- | C] () -- C:\Windows\System32\ABLKSR.ini [2007.10.01 08:59:45 | 001,769,984 | ---- | C] () -- C:\Windows\System32\drivers\snp2uvc.sys [2007.05.09 09:16:39 | 000,028,160 | ---- | C] () -- C:\Windows\System32\drivers\sncduvc.sys [2007.02.07 19:58:12 | 000,039,899 | ---- | C] () -- C:\Windows\System32\rtsicis.ini [2007.01.25 17:42:50 | 000,413,696 | ---- | C] () -- C:\Windows\System32\lxczutil.dll [2007.01.22 11:49:34 | 000,344,064 | ---- | C] () -- C:\Windows\System32\lxczcoin.dll [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.06.07 15:23:04 | 000,061,440 | ---- | C] () -- C:\Windows\System32\lxczcnv7.dll [2006.04.21 11:08:22 | 000,253,952 | ---- | C] () -- C:\Windows\System32\HtmlHelp.dll [2006.03.27 14:19:14 | 000,040,960 | ---- | C] () -- C:\Windows\System32\lxczvs.dll [2006.03.09 03:57:59 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll [2006.03.07 13:59:04 | 000,061,440 | ---- | C] () -- C:\Windows\System32\lxczcnv6.dll [2006.01.10 19:11:06 | 000,061,440 | ---- | C] () -- C:\Windows\System32\lxczcnv5.dll [2005.11.09 13:13:48 | 000,282,624 | ---- | C] () -- C:\Windows\System32\dnt27VC7.dll [2005.11.09 13:11:46 | 000,086,016 | ---- | C] () -- C:\Windows\System32\dntvmc27VC7.dll [2005.11.09 13:11:30 | 000,077,824 | ---- | C] () -- C:\Windows\System32\dntvm27VC7.dll [2001.10.10 08:57:58 | 000,073,786 | ---- | C] () -- C:\Windows\System32\dntvmc23.dll [2001.10.10 08:57:58 | 000,061,497 | ---- | C] () -- C:\Windows\System32\dntvm23.dll [2001.03.07 08:02:30 | 000,229,431 | ---- | C] () -- C:\Windows\System32\dnt23.dll ========== LOP Check ========== [2010.07.16 17:12:20 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Azedy [2010.07.29 11:40:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Benyn [2009.07.24 13:32:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\CoSoSys [2008.09.30 15:28:24 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Haufe [2010.04.11 07:40:18 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Hyetfo [2010.07.29 10:38:15 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Ikusk [2010.05.18 12:08:30 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\ISL Online Cache [2010.06.22 10:06:43 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Kouhqo [2009.02.18 13:37:28 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Lexware [2008.09.26 11:01:28 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\PeerNetworking [2010.07.29 11:32:45 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Qeup [2009.11.08 19:52:02 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Sipy [2010.07.29 18:25:38 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Sozeyh [2010.05.12 17:01:20 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\TeamViewer [2008.12.21 22:50:59 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Thunderbird [2010.07.16 16:37:11 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Uhag [2009.01.29 21:13:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xook [2010.07.29 18:24:27 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xuyh [2010.06.22 10:04:01 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xyab [2010.07.29 12:16:43 | 000,032,562 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT [2010.07.28 19:32:16 | 000,000,426 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{DAB68CEA-F041-4386-BBA0-44555F98FA40}.job ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2010.07.06 19:51:06 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Adobe [2010.02.03 17:53:21 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Ahead [2010.07.16 17:12:20 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Azedy [2010.07.29 11:40:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Benyn [2009.07.24 13:32:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\CoSoSys [2008.09.30 15:28:24 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Haufe [2009.10.26 18:49:50 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\HP [2010.02.24 13:52:59 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\HpUpdate [2010.04.11 07:40:18 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Hyetfo [2008.09.25 20:16:44 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Identities [2010.07.29 10:38:15 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Ikusk [2008.09.30 14:53:56 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\InstallShield [2010.05.18 12:08:30 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\ISL Online Cache [2010.06.22 10:06:43 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Kouhqo [2009.02.18 13:37:28 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Lexware [2008.09.25 20:17:13 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Macromedia [2009.04.22 10:21:56 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Macrovision [2006.11.02 14:37:34 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Media Center Programs [2010.02.10 12:28:01 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Media Player Classic [2010.05.18 12:13:58 | 000,000,000 | --SD | M] -- C:\Users\**\AppData\Roaming\Microsoft [2008.09.28 19:30:56 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Mozilla [2008.09.26 11:01:28 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\PeerNetworking [2010.07.29 11:32:45 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Qeup [2009.11.08 19:52:02 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Sipy [2010.07.29 18:25:38 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Sozeyh [2008.09.25 20:17:29 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Symantec [2010.05.12 17:01:20 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\TeamViewer [2008.12.21 22:50:59 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Thunderbird [2010.07.16 16:37:11 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Uhag [2009.01.29 21:13:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xook [2010.07.29 18:24:27 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xuyh [2010.06.22 10:04:01 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xyab < %APPDATA%\*.exe /s > [2010.04.11 07:40:18 | 000,154,618 | ---- | M] () -- C:\Users\**\AppData\Roaming\Hyetfo\invy.exe [2010.06.14 16:52:59 | 000,719,195 | ---- | M] () -- C:\Users\**\AppData\Roaming\ISL Online Cache\ISL Network Start\1\extract_1276527179_156_5332_19431\ISL_Light_Client_3_1_2 247597.exe [2009.12.07 12:12:53 | 000,004,710 | R--- | M] () -- C:\Users\**\AppData\Roaming\Microsoft\Installer\{4C9E7EA5-9A3F-4C54-9038-EBB4CF25C29D}\ARPPRODUCTICON.exe [2008.10.31 19:29:03 | 000,004,710 | R--- | M] () -- C:\Users\**\AppData\Roaming\Microsoft\Installer\{E5A24EC1-61AF-4AF4-A103-756359FAC92E}\ARPPRODUCTICON.exe [2009.02.18 12:09:04 | 000,086,016 | R--- | M] (InstallShield Software Corp.) -- C:\Users\**\AppData\Roaming\Microsoft\Installer\{F48AAE0F-52F4-11DD-B1F7-0050560400B1}\ARPPRODUCTICON.exe [2009.11.08 19:52:02 | 000,104,960 | ---- | M] () -- C:\Users\**\AppData\Roaming\Sipy\cebeu.exe [2009.01.29 21:13:41 | 000,107,520 | ---- | M] (As) -- C:\Users\**\AppData\Roaming\Xook\nyiq.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\drivers\AGP440.sys [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_51b95d75\AGP440.sys [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys [2006.11.02 11:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys < MD5 for: ATAPI.SYS > [2009.04.11 08:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\drivers\atapi.sys [2009.04.11 08:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys [2009.04.11 08:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys [2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys [2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys [2006.11.02 11:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys < MD5 for: CNGAUDIT.DLL > [2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll [2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll < MD5 for: IASTOR.SYS > [2007.09.29 17:03:11 | 000,308,248 | ---- | M] (Intel Corporation) MD5=E5A0034847537EAEE3C00349D5C34C5F -- C:\Windows\System32\drivers\iaStor.sys [2007.09.29 17:03:11 | 000,308,248 | ---- | M] (Intel Corporation) MD5=E5A0034847537EAEE3C00349D5C34C5F -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_7baf6192\iaStor.sys [2007.09.29 17:03:11 | 000,308,248 | ---- | M] (Intel Corporation) MD5=E5A0034847537EAEE3C00349D5C34C5F -- C:\Windows\System32\DriverStore\FileRepository\iastor.inf_41af7b1f\iaStor.sys < MD5 for: IASTORV.SYS > [2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\drivers\iaStorV.sys [2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys [2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys [2006.11.02 11:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys < MD5 for: NETLOGON.DLL > [2009.04.11 08:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\System32\netlogon.dll [2009.04.11 08:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll [2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll < MD5 for: NVSTOR.SYS > [2006.11.02 11:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys [2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\drivers\nvstor.sys [2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys [2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys < MD5 for: SCECLI.DLL > [2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll [2009.04.11 08:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\System32\scecli.dll [2009.04.11 08:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll < MD5 for: USER32.DLL > [2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll [2009.04.11 08:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\user32.dll [2009.04.11 08:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll < MD5 for: USERINIT.EXE > [2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe [2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe < MD5 for: WINLOGON.EXE > [2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\System32\winlogon.exe [2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe [2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe < MD5 for: WS2IFSL.SYS > [2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\System32\drivers\ws2ifsl.sys [2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2008.01.21 05:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV [2008.01.21 05:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV [2008.01.21 05:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV [2006.11.02 12:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV [2006.11.02 12:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [2009.04.11 08:27:47 | 000,241,128 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\rsaenh.dll [2009.04.11 08:28:23 | 000,228,352 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\SLC.dll < End of report > Code:
ATTFilter OTL Extras logfile created on: 29.07.2010 18:25:06 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Users\**\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 53,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 116,44 Gb Total Space | 60,37 Gb Free Space | 51,84% Space Free | Partition Type: NTFS
Drive D: | 106,68 Gb Total Space | 106,58 Gb Free Space | 99,91% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: **-PC
Current User Name: **
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"UacDisableNotify" = 0
"InternetSettingsDisableNotify" = 0
"AutoUpdateDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0A0B0D98-F2A5-4E64-BC68-863BAF0C7047}" = lport=139 | protocol=6 | dir=in | app=system |
"{10CB9608-B318-4DA8-B6C5-FF9D4FDA2555}" = lport=137 | protocol=17 | dir=in | app=system |
"{1D2D0F8D-9549-432F-AB1C-B60FBCAE38D2}" = rport=138 | protocol=17 | dir=out | app=system |
"{3C6F4A9B-2E7C-4E92-84BF-D83FFE52ADC3}" = rport=445 | protocol=6 | dir=out | app=system |
"{550182CF-8B55-4C92-A236-54BF2A4BFE8D}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{94D176A7-0322-4DE2-9F64-59AFF6300B1E}" = lport=138 | protocol=17 | dir=in | app=system |
"{A6C06297-8DBD-4C0D-A156-92A7F87767BA}" = rport=137 | protocol=17 | dir=out | app=system |
"{AC962961-944C-42CF-998E-77486CDA9E4F}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe |
"{C5773722-A634-4AD6-9B72-1BF89CE1AF6B}" = rport=139 | protocol=6 | dir=out | app=system |
"{D9FAC750-C244-4A1B-AAF2-5BDA4368F563}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{F70BB26A-0C67-4BF7-8A21-01ADEF232D3E}" = lport=445 | protocol=6 | dir=in | app=system |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{05583299-6915-45AD-9D98-FB37471BC8C5}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqkygrp.exe |
"{0AEEE6C5-A7E8-482F-966F-13D22EF395DA}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpiscnapp.exe |
"{10205625-B094-4292-A50D-53A3E387A6CD}" = dir=in | app=c:\program files\hp\digital imaging\bin\hposid01.exe |
"{1159C7E5-8294-4FA0-B41A-6CD8282BB998}" = protocol=6 | dir=in | app=c:\windows\system32\lxczcoms.exe |
"{219D985D-7387-4E48-9FF6-23D80F73C176}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqusgm.exe |
"{28619731-CA4C-4D6A-829B-14502DDFD992}" = protocol=6 | dir=in | app=c:\windows\system32\lxczcoms.exe |
"{30482600-CF53-4D82-B39A-A405C33807D8}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpofxm08.exe |
"{374B7987-3F64-4459-B21A-980C6DF68B71}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxczpswx.exe |
"{3B8BAEF5-C2F8-4043-90BA-EF43F8F4E9F0}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxczpswx.exe |
"{4C01E5B1-DAA4-4E0D-8900-0B47EC4FE2E0}" = protocol=17 | dir=in | app=c:\windows\system32\lxczcoms.exe |
"{538F2CFF-F5C4-436C-90DA-178072FF708D}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqgpc01.exe |
"{5D315A30-F021-41AA-96FE-4FF34D73DA26}" = dir=in | app=c:\program files\hp\digital imaging\bin\hposfx08.exe |
"{5F50E24B-E193-41B2-8A64-5461AB09DC59}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{60051127-724C-48A6-9D63-4A198396C004}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqfxt08.exe |
"{68A80A20-99F7-4234-94AB-A2A2DC499B8D}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpzwiz01.exe |
"{6FE5B0A9-2635-402C-BBB9-37FA7E6D4FF7}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{742B544C-3824-401E-ACAC-CED524BC8E1F}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpofxs08.exe |
"{8B072A3F-89B7-4187-A4EA-FAD8BD661D14}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqgplgtupl.exe |
"{90937E13-C042-4108-94CD-B5A4FBEE82BA}" = dir=in | app=c:\program files\hp\hp software update\hpwucli.exe |
"{A0E7BE98-A93C-4741-AD4F-9888774F5082}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{C7C1D7FD-4E3C-4BD1-90C9-BD4C226CC76B}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqste08.exe |
"{D233BCA3-62B7-4DFB-AD08-78DEA839ACF2}" = protocol=17 | dir=in | app=c:\windows\system32\lxczcoms.exe |
"{D2524BE3-7973-48E8-848F-41F36ECE777F}" = dir=in | app=c:\program files\hp\digital imaging\smart web printing\smartwebprintexe.exe |
"{E1415BC1-94A3-497D-AFEB-90B3E15BA54B}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqtra08.exe |
"{E38764FD-DA1F-49AE-A29A-606E9A5BBEC4}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{F62092B2-AA35-44EC-A7ED-13B74B953738}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpfccopy.exe |
"{F9021E7D-C4D3-4BCA-A775-55F379CB280A}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqusgh.exe |
"TCP Query User{57601E96-B76C-4A67-B65D-9B2135D8056F}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe |
"TCP Query User{74DF02D3-764B-422A-92F8-42523AB77559}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe |
"TCP Query User{7DE0BCDC-F2F4-4604-95EF-13665227C018}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe |
"TCP Query User{90AD73CE-40C4-4803-A4FD-043DAC8B162C}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe |
"UDP Query User{02C91816-1337-4ED9-A19B-50CB44272AD4}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe |
"UDP Query User{17615C02-E516-4536-B1C9-D454D6588FA3}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe |
"UDP Query User{7A6DDDA9-7750-4FC4-A3DA-13F89FADD3F3}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe |
"UDP Query User{DDF97FE6-783E-4BE2-9458-F44B692E3932}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{004C5DA2-2051-4D25-94BA-51CF810C91EB}" = LightScribe System Software 1.12.37.1
"{03A7C57A-B2C8-409b-92E5-524A0DFD0DD3}" = Status
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07B64A55-B552-4F34-A904-DBFD810B752B}" = QuickSteuer DELUXE Wissens-Center 2008
"{087A66B8-1F0F-4a8d-A649-0CFE276AA7C0}" = WebReg
"{09BC9676-A36C-456C-A86B-AD42FF5ABD8F}" = Steuer Update 14.01
"{102CBC47-7FDE-4E6C-8A3A-67B79833FAC8}" = BPDSoftware_Ini
"{11B2F891-91C8-47ce-945A-A91003EA27FB}" = BPDSoftware
"{139B0FFA-187E-4BA1-BCA6-6B56B2B6AB8C}" = ATK Media
"{18AB082B-6584-4F74-8ABC-D5935CF46E4C}" = 8500A909_eDocs
"{19B822A6-372A-43E2-9230-0AFA4EC84F8C}" = Lexware buchhalter 2009
"{1C8521E5-5A7B-4A4E-A9CD-AD53116EAEE0}" = ASUS Data Security Manager
"{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3
"{2396F815-84E0-4353-83D7-8B190556DA42}" = ASUS CopyProtect
"{25DEC9F7-08C7-4511-9B4A-40A61E40658E}" = web'n'walk Manager
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 15
"{2A329FB6-389D-4396-A974-29656D6864AE}" = MarketResearch
"{2EEA7AA4-C203-4b90-A34F-19FB7EF1C81C}" = BufferChm
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{353EA50E-26A0-4ADD-A12A-3FE2E59E5BB3}" = QuickSteuer DELUXE Wissens-Center 2009
"{3700194C-C5DD-439A-BE06-A66960CA4C70}" = MSVCSetup
"{3912D529-02BC-4CA8-B5ED-0D0C20EB6003}" = ATK Hotkey
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"{432A850B-3558-4BFF-B1F9-30626835B523}" = BPD_DSWizards
"{44046312-696F-4E29-82C8-3F29F81DD11F}" = Lexware Elster
"{47ECCB1F-2811-49C0-B6A7-26778639ABA0}" = 32 Bit HP CIO Components Installer
"{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter
"{4C9E7EA5-9A3F-4C54-9038-EBB4CF25C29D}" = Quicken 2010 - Servicepack 5
"{4D304678-738E-42a0-931A-2B022F49DEB8}" = TrayApp
"{4D40FDA3-1C6B-4871-9C80-7DC4776F70EE}" = Steuer Update 14.01
"{4E7C28C7-D5DA-4E9F-A1CA-60490B54AE35}" = UnloadSupport
"{4EF8BE6A-899C-4196-94E7-297C5F7A203E}" = pdfforge Toolbar v1.1.1
"{4F8AFA74-1562-4980-8B87-8C07E8DE8FAF}" = Quicken 2010
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57B15AD4-8C9D-4164-82BB-E33D8644E757}" = ASUS InstantFun
"{57F60D52-630B-43C5-BD20-176F5CD4EED6}" = bpd_scan
"{58BAA8D0-404E-4585-9FD3-ED1BB72AC2EE}" = Adobe Flash Player 9 ActiveX
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{59F6A514-9813-47A3-948C-8A155460CC2A}" = RICOH R5C83x/84x Flash Media Controller Driver Ver.3.52.02
"{5A98F915-3593-4A49-B5F8-C414DCA954AA}" = Steuer Update 14.01
"{5C1DB4ED-E9B4-402D-BB14-D75D97D6C1A6}" = ATKOSD2
"{624E7452-BA43-4f55-B9D5-FC75EEA0808B}" = Officejet Pro 8500 A909 Series
"{62B7C52C-CAB6-48B1-8245-52356C141C92}" = RENESIS® Player Browser Plugins
"{6324A1EF-CEF4-43E3-8BCD-9EF3F67317FD}" = NB Probe
"{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2
"{64452561-169F-4A36-A2FF-B5E118EC65F5}" = ASUS SmartLogon
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{676981B7-A2D9-49D0-9F4C-03018F131DA9}" = DocProc
"{69E8BEBD-B3AA-4981-BA49-AD0AEA731031}" = Nero BackItUp 2 Essentials
"{6AD20772-EF87-4275-BD34-D1FFA593A674}" = Steuer Update 15.01
"{6C35CAC7-27C9-4CB0-BBB8-CBF9994215DA}" = Lexware online banking
"{6E19F210-3813-4002-B561-94D66AA182B6}" = Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver
"{6E9B276F-77BE-49F7-8676-C10017F9E20B}" = Lexware buchhalter Servicepack 2008, Version 13.50
"{6EED4269-588D-45b8-A80C-26A9CA62EE4E}" = HPSSupply
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7923F6DE-CF0D-40ED-AB5A-A792408EA7B5}" = QuickSteuer Deluxe 2008
"{7C05EEDD-E565-4E2B-ADE4-0C784C17311C}" = Crystal Reports for .NET Framework 2.0 (x86)
"{7DA9F24A-CEC3-426E-BFFA-ADB94D922463}" = Quicken Import Export Server 2010
"{818ABC3C-635C-4651-8183-D0E9640B7DD1}" = HP Update
"{83F73CB1-7705-49D1-9852-84D839CA2A45}" = Wireless Console 2
"{87A9A9A9-FAB7-4224-9328-0FA2058C0FD5}" = Network
"{89863727-B08E-401F-995B-14398B28DE3D}" = QuickSteuer Deluxe 2009
"{8CE37484-B5C2-497E-8501-D339F1D828CC}" = Lexware reisekosten 2008
"{8CFEBE9C-F29F-4C49-80E0-7106970F8734}" = Power4Gear eXtreme
"{8E77C3B6-6971-44ED-9267-A8E494785607}" = Quicken 2009
"{8FF6F5CA-4E30-4E3B-B951-204CAAA2716A}" = SmartWebPrinting
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2007
"{90120000-0015-040C-0000-0000000FF1CE}" = Microsoft Office Access MUI (French) 2007
"{90120000-0015-0410-0000-0000000FF1CE}" = Microsoft Office Access MUI (Italian) 2007
"{90120000-0015-0413-0000-0000000FF1CE}" = Microsoft Office Access MUI (Dutch) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2007
"{90120000-0016-040C-0000-0000000FF1CE}" = Microsoft Office Excel MUI (French) 2007
"{90120000-0016-0410-0000-0000000FF1CE}" = Microsoft Office Excel MUI (Italian) 2007
"{90120000-0016-0413-0000-0000000FF1CE}" = Microsoft Office Excel MUI (Dutch) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2007
"{90120000-0018-040C-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (French) 2007
"{90120000-0018-0410-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (Italian) 2007
"{90120000-0018-0413-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (Dutch) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2007
"{90120000-0019-040C-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (French) 2007
"{90120000-0019-0410-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (Italian) 2007
"{90120000-0019-0413-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (Dutch) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2007
"{90120000-001A-040C-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (French) 2007
"{90120000-001A-0410-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (Italian) 2007
"{90120000-001A-0413-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (Dutch) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2007
"{90120000-001B-040C-0000-0000000FF1CE}" = Microsoft Office Word MUI (French) 2007
"{90120000-001B-0410-0000-0000000FF1CE}" = Microsoft Office Word MUI (Italian) 2007
"{90120000-001B-0413-0000-0000000FF1CE}" = Microsoft Office Word MUI (Dutch) 2007
"{90120000-001F-0401-0000-0000000FF1CE}" = Microsoft Office Proof (Arabic) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0413-0000-0000000FF1CE}" = Microsoft Office Proof (Dutch) 2007
"{90120000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2007
"{90120000-002C-040C-0000-0000000FF1CE}" = Microsoft Office Proofing (French) 2007
"{90120000-002C-0410-0000-0000000FF1CE}" = Microsoft Office Proofing (Italian) 2007
"{90120000-002C-0413-0000-0000000FF1CE}" = Microsoft Office Proofing (Dutch) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2007
"{90120000-006E-040C-0000-0000000FF1CE}" = Microsoft Office Shared MUI (French) 2007
"{90120000-006E-0410-0000-0000000FF1CE}" = Microsoft Office Shared MUI (Italian) 2007
"{90120000-006E-0413-0000-0000000FF1CE}" = Microsoft Office Shared MUI (Dutch) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2007
"{90120000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2007
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CCCFD9C-248F-47FE-9496-1680E3E5C163}" = Scan
"{9DF2A02A-A3EA-4DFD-AD8E-DD34F188AEC0}" = Renditeberechnung 2009
"{9FC83F04-9C3F-429B-92DE-1252235765E4}" = DDBAC
"{9FD5A092-5A4F-4E29-A267-6EA54B9950FB}" = Steuer Update 15.01
"{A8265601-91E9-4473-92D6-8C7EB2444852}" = Steuer Update 14.01
"{A9358EEE-34F1-4553-9382-7914D6A4B42C}" = QuickSteuer Deluxe 2008
"{AC13BA3A-336B-45a4-B3FE-2D3058A7B533}" = Toolbox
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AC94622D-D899-44DF-9857-7DD31958C541}" = Crystal Reports für .NET Framework 2.0 Language Pack (x86) - DEU
"{B1A4CE9C-0D98-43D0-8815-2212F3752063}" = Lexware reisekosten 2008
"{B495547C-01F8-4836-A2E6-749B5F3EA691}" = 8500A909_Help
"{BC63A4AC-435D-4AAD-9881-D0ED60804D1A}" = Lexware buchhalter Aktualisierung Februar 2008, Version 13.10
"{BFBF5EEC-25F7-4DE5-9346-0EE4FB4CD2D7}" = QuickSteuer Deluxe 2009
"{C0FC1C14-4824-4A73-87A6-9E888C9C3102}" = ASUS Splendid Video Enhancement Technology
"{C29C1940-CB85-4F3B-906C-33FEE0E67103}" = DocMgr
"{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CD8C5C7F-7C58-4F85-8977-A6C08C087912}" = MPM
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D3D54F3E-C5C3-443D-978F-87A72E5616E8}" = ATK Generic Function Service
"{D5C8E140-6E6F-11DD-9AA9-0050560400B1}" = Haufe iDesk-Service
"{D5DEF057-D3BC-499f-99EE-884ED429B6D1}" = 8500A909g
"{DA8BF070-1358-4a30-A68F-21E0E9421AEF}" = ProductContext
"{DE10AB76-4756-4913-BE25-55D1C1051F9A}" = WinFlash
"{DEE03A90-C723-4E3D-A661-86651D6F0668}" = QuickSteuer Deluxe 2010
"{E5A24EC1-61AF-4AF4-A103-756359FAC92E}" = Quicken 2009 - ServicePack 3
"{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}" = ASUS Live Update
"{E98371BD-6C0D-463E-B004-E6303F9A34A7}" = Lexware buchhalter 2008
"{EEEB604C-C1A7-4f8c-B03F-56F9C1C9C45F}" = Fax
"{EF9E56EE-0243-4BAD-88F4-5E7508AA7D96}" = Destination Component
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F769B78E-FF0E-4db5-95E2-9F4C8D6352FE}" = DeviceDiscovery
"{FC3D290D-79BE-44B7-ABF9-FDD110925930}" = P4P
"{FE688026-1C8C-4E50-889D-4B6607CADC24}" = Lexware buchhalter 2008
"{FF1B3317-EADD-4AC3-BE54-37265FC9A133}" = Lexware buchhalter Servicepack 2008, Version 13.50
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Asus_Camera_ScreenSaver" = Asus_Camera_ScreenSaver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"DEMA AG E@SY-INSURE" = DEMA AG E@SY-INSURE
"ENTERPRISE" = Microsoft Office Enterprise 2007
"HP Document Manager" = HP Document Manager 2.0
"HP Imaging Device Functions" = HP Imaging Device Functions 12.0
"HP Smart Web Printing" = HP Smart Web Printing 4.60
"HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0
"HPExtendedCapabilities" = HP Customer Participation Program 12.0
"HPOCR" = OCR Software by I.R.I.S. 12.0
"InstallShield_{4F8AFA74-1562-4980-8B87-8C07E8DE8FAF}" = Quicken Deluxe 2010
"InstallShield_{8E77C3B6-6971-44ED-9267-A8E494785607}" = Quicken Deluxe 2009
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"NVIDIA Drivers" = NVIDIA Drivers
"PROHYBRIDR" = 2007 Microsoft Office system
"Shop for HP Supplies" = Shop for HP Supplies
"SMSERIAL" = Motorola SM56 Speakerphone Modem
"Some PDF to Word Converter_is1" = Some PDF to Word Converter 1.5
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"USB 2.0 1.3M UVC WebCam" = USB 2.0 1.3M UVC WebCam
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 05.01.2010 10:22:35 | Computer Name = **-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 05.01.2010 10:22:35 | Computer Name = **-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 05.01.2010 10:23:06 | Computer Name = **-PC | Source = WinMgmt | ID = 10
Description =
Error - 05.01.2010 13:28:52 | Computer Name = **-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung HPWUCli.exe, Version 5.0.8.1, Zeitstempel 0x4abd3c99,
fehlerhaftes Modul unknown, Version 0.0.0.0, Zeitstempel 0x00000000, Ausnahmecode
0xc0000005, Fehleroffset 0x00384b70, Prozess-ID 0x1228, Anwendungsstartzeit 01ca8e2c41d69e90.
Error - 06.01.2010 05:28:23 | Computer Name = **-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 06.01.2010 05:28:23 | Computer Name = **-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 06.01.2010 05:28:56 | Computer Name = **-PC | Source = WinMgmt | ID = 10
Description =
Error - 07.01.2010 05:35:16 | Computer Name = **-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 07.01.2010 05:35:16 | Computer Name = **-PC | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description =
Error - 07.01.2010 05:35:49 | Computer Name = **-PC | Source = WinMgmt | ID = 10
Description =
[ OSession Events ]
Error - 21.07.2010 14:37:46 | Computer Name = **-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 3
seconds with 0 seconds of active time. This session ended with a crash.
Error - 21.07.2010 14:43:37 | Computer Name = **-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 2
seconds with 0 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 29.07.2010 05:53:55 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 05:54:41 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 05:55:28 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 06:10:35 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 06:12:18 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 06:14:01 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 06:15:40 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
Error - 29.07.2010 06:17:49 | Computer Name = **-PC | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.101 für die Netzwerkkarte mit der Netzwerkadresse
001F3C616B3C wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 29.07.2010 06:19:35 | Computer Name = **-PC | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001
Description =
Error - 29.07.2010 06:20:44 | Computer Name = **-PC | Source = RasSstp | ID = 1
Description =
< End of report >
|
|
29.07.2010, 18:35
| #5 |
| /// Malware-holic | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen rechtsklick auf den avira schirm, guard deaktivieren Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{20ACC2FE-5080-FE67-EBB9-8F8BFA3AEBDC}] C:\Users\**\AppData\Roaming\Hyetfo\invy.exe () O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{38B546C7-6969-5E4D-2667-428F35B36BDF}] C:\Users\**\AppData\Roaming\Benyn\hypy.exe File O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{38B546C7-6969-5E4D-2667-428F35B36BDF}] C:\Users\**\AppData\Roaming\Benyn\hypy.exe File not found O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{3F3891BB-FA6A-4289-5A86-1C475BC3DCCB}] C:\Users\**\AppData\Roaming\Sipy\cebeu.exe () O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{A2F7B955-326A-CA67-11B4-B47CA34086C2}] C:\Users\**\AppData\Roaming\Xyab\asyki.exe File not found O4 - HKU\S-1-5-21-3297665233-2532892787-3667306379-1000..\Run: [{F8433705-85A7-01ED-C274-1A9EF3D88763}] C:\Users\**\AppData\Roaming\Xook\nyiq.exe (As) [2010.07.10 10:32:28 | 000,000,000 | ---- | M] () -- C:\Users\**\AppData\Local\ebiyupunep.dll [2010.07.16 17:12:20 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Azedy [2010.07.29 11:40:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Benyn [2009.07.24 13:32:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\CoSoSys [2010.04.11 07:40:18 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Hyetfo [2010.07.29 10:38:15 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Ikusk [2010.06.22 10:06:43 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Kouhqo [2010.07.29 11:32:45 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Qeup [2009.11.08 19:52:02 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Sipy [2010.07.29 18:25:38 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Sozeyh [2010.07.16 16:37:11 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Uhag [2009.01.29 21:13:41 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xook [2010.07.29 18:24:27 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xuyh [2010.06.22 10:04:01 | 000,000,000 | ---D | M] -- C:\Users\**\AppData\Roaming\Xyab :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten erneut antivirus abschalten bitte jetzt siehst du, wenn du arbeitsplatz (mein computer) öffnest auf c: einen ordner _otl nen rechtsklick drauf machen und zu _otl.rar oder _otl.zip hinzufügen. wenn es eine fehlermeldung geben sollte, starte den pc neu, drücke f8, wähle abgesicherter modus und packe ihn erneut. dann zu uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html danach führe combofix aus, mal sehen ob das noch dateien zu tage fördert, dauert nicht lang, dann sind wir durch bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
29.07.2010, 19:44
| #6 |
| | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen als der laptop wieder hochgefahren hat kam jetzt folgende meldung RunDLL Fehler beim Laden von C:\Users\**\AppData\Roaming\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden. die zip datei hab ich auch hochgeaden. muss ich jetzt hier noch was einstellen oder so, damit du die sehen kannst? werde combofix gleich auch durchlaufen lassen wenn ich mir das dazu alles durchgelesen hab wie es funktioniert. bis gleich edit: hab die log vergessen sry.. log Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{20ACC2FE-5080-FE67-EBB9-8F8BFA3AEBDC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20ACC2FE-5080-FE67-EBB9-8F8BFA3AEBDC}\ not found.
File C:\Users\**\AppData\Roaming\Hyetfo\invy.exe not found.
Registry value HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{38B546C7-6969-5E4D-2667-428F35B36BDF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38B546C7-6969-5E4D-2667-428F35B36BDF}\ not found.
File C:\Users\**\AppData\Roaming\Benyn\hypy.exe File not found.
Registry value HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{38B546C7-6969-5E4D-2667-428F35B36BDF} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38B546C7-6969-5E4D-2667-428F35B36BDF}\ not found.
File C:\Users\**\AppData\Roaming\Benyn\hypy.exe File not found.
Registry value HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{3F3891BB-FA6A-4289-5A86-1C475BC3DCCB} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3F3891BB-FA6A-4289-5A86-1C475BC3DCCB}\ not found.
File C:\Users\**\AppData\Roaming\Sipy\cebeu.exe not found.
Registry value HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{A2F7B955-326A-CA67-11B4-B47CA34086C2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2F7B955-326A-CA67-11B4-B47CA34086C2}\ not found.
File C:\Users\**\AppData\Roaming\Xyab\asyki.exe File not found.
Registry value HKEY_USERS\S-1-5-21-3297665233-2532892787-3667306379-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{F8433705-85A7-01ED-C274-1A9EF3D88763} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F8433705-85A7-01ED-C274-1A9EF3D88763}\ not found.
File C:\Users\**\AppData\Roaming\Xook\nyiq.exe not found.
File C:\Users\**\AppData\Local\ebiyupunep.dll not found.
Folder C:\Users\**\AppData\Roaming\Azedy\ not found.
Folder C:\Users\**\AppData\Roaming\Benyn\ not found.
Folder C:\Users\**\AppData\Roaming\CoSoSys\ not found.
Folder C:\Users\**\AppData\Roaming\Hyetfo\ not found.
Folder C:\Users\**\AppData\Roaming\Ikusk\ not found.
Folder C:\Users\**\AppData\Roaming\Kouhqo\ not found.
Folder C:\Users\**\AppData\Roaming\Qeup\ not found.
Folder C:\Users\**\AppData\Roaming\Sipy\ not found.
Folder C:\Users\**\AppData\Roaming\Sozeyh\ not found.
Folder C:\Users\**\AppData\Roaming\Uhag\ not found.
Folder C:\Users\**\AppData\Roaming\Xook\ not found.
Folder C:\Users\**\AppData\Roaming\Xuyh\ not found.
Folder C:\Users\**\AppData\Roaming\Xyab\ not found.
========== FILES ==========
========== COMMANDS ==========
[EMPTYFLASH]
User: All Users
User: Christoph
->Flash cache emptied: 127856 bytes
User: Default
User: Default User
User: Public
Total Flash Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: All Users
User: Christoph
->Temp folder emptied: 333089524 bytes
->Temporary Internet Files folder emptied: 43472842 bytes
->Java cache emptied: 94108282 bytes
->FireFox cache emptied: 83674197 bytes
->Flash cache emptied: 0 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 185334124 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 705,00 mb
OTL by OldTimer - Version 3.2.9.1 log created on 07292010_194707
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
Geändert von SaSa87 (29.07.2010 um 19:49 Uhr) Grund: log vergessen |
|
29.07.2010, 19:52
| #7 |
| /// Malware-holic | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen ok die warten wohl schon gelöscht laut log... obwohl sie als noch aktiev gezeigt wurden, mal sehen was combofix zeigt |
|
29.07.2010, 22:25
| #8 |
| | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen so nun hier die log von combofix  Code:
ATTFilter ComboFix 10-07-29.01 - ** 29.07.2010 22:39:15.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3070.1813 [GMT 2:00]
ausgeführt von:: c:\users\**\Documents\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\**\AppData\Roaming\Hyetfo
c:\users\**\AppData\Roaming\Hyetfo\invy.exe
c:\users\**\AppData\Roaming\Sipy
c:\users\**\AppData\Roaming\Sipy\cebeu.exe
c:\users\**\AppData\Roaming\Xook\nyiq.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-28 bis 2010-07-29 ))))))))))))))))))))))))))))))
.
2010-07-29 21:02 . 2010-07-29 21:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-29 17:47 . 2010-07-29 17:47 -------- d-----w- C:\_OTL
2010-07-17 21:25 . 2010-07-17 21:25 1079048 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-07-10 08:32 . 2010-07-10 08:32 0 ----a-w- c:\users\**\AppData\Local\ebiyupunep.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 21:02 . 2010-05-29 08:20 -------- d-----w- c:\users\**\AppData\Roaming\Sozeyh
2010-07-29 21:02 . 2009-04-16 06:51 -------- d-----w- c:\users\**\AppData\Roaming\Xuyh
2010-07-29 21:01 . 2009-01-29 19:13 -------- d-----w- c:\users\**\AppData\Roaming\Xook
2010-07-29 18:19 . 2008-08-13 02:05 45056 ----a-w- c:\windows\system32\acovcnt.exe
2010-07-29 09:40 . 2009-12-27 16:48 -------- d-----w- c:\users\**\AppData\Roaming\Benyn
2010-07-29 09:32 . 2008-10-08 06:51 -------- d-----w- c:\users\**\AppData\Roaming\Qeup
2010-07-29 08:38 . 2009-01-21 15:28 -------- d-----w- c:\users\**\AppData\Roaming\Ikusk
2010-07-27 08:23 . 2008-04-16 11:11 632252 ----a-w- c:\windows\system32\perfh007.dat
2010-07-27 08:23 . 2008-04-16 11:11 127464 ----a-w- c:\windows\system32\perfc007.dat
2010-07-25 11:50 . 2009-10-26 16:27 -------- d-----w- c:\programdata\HP
2010-07-16 15:12 . 2008-11-27 08:13 -------- d-----w- c:\users\**\AppData\Roaming\Azedy
2010-07-16 14:37 . 2010-02-03 11:16 -------- d-----w- c:\users\**\AppData\Roaming\Uhag
2010-07-15 15:43 . 2009-04-23 10:56 3523936 ----a-w- c:\programdata\Lexware\Quicken\2010\UpdateAssistent\ddbac.exe
2010-07-15 12:59 . 2008-09-25 18:17 105528 ----a-w- c:\users\**\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-15 12:58 . 2008-08-13 00:44 -------- d-----w- c:\programdata\Microsoft Help
2010-07-15 12:44 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-29 18:54 . 2008-10-03 17:16 28219 ----a-w- c:\users\**\AppData\Roaming\nvModes.dat
2010-06-26 20:33 . 2008-08-13 00:49 -------- d-----w- c:\program files\Microsoft.NET
2010-06-22 08:06 . 2010-02-28 00:56 -------- d-----w- c:\users\**\AppData\Roaming\Kouhqo
2010-06-22 08:04 . 2008-11-24 18:16 -------- d-----w- c:\users\**\AppData\Roaming\Xyab
2010-06-14 14:53 . 2010-06-14 14:53 57344 ----a-w- c:\users\**\AppData\Roaming\ISL Online Cache\ISL Light Client\1\desktop_1_1_2\isl_dsk_7345353.dll
2010-06-14 14:53 . 2010-06-14 14:53 52736 ----a-w- c:\users\**\AppData\Roaming\ISL Online Cache\ISL Light Client\1\desktop_1_1_2\isl_dsk_7345353_64.dll
2010-06-14 14:52 . 2010-06-14 14:52 719195 ----a-w- c:\users\**\AppData\Roaming\ISL Online Cache\ISL Network Start\1\extract_1276527179_156_5332_19431\ISL_Light_Client_3_1_2 247597.exe
2010-06-14 14:52 . 2010-06-14 14:52 487424 ----a-w- c:\users\**\AppData\Roaming\ISL Online Cache\ISL Network Start\1\ISLNetworkStart.dll
2010-05-26 17:06 . 2010-06-10 16:02 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-10 16:02 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-03 11:59 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-21 09:22 . 2010-05-21 09:22 7168 ----a-w- c:\programdata\Lexware\QuickSteuer Deluxe\2010\versionSteuerHtml.dll
2010-05-21 09:22 . 2010-05-21 09:22 7168 ----a-w- c:\programdata\Lexware\QuickSteuer Deluxe\2010\versionTaxAppData.dll
2010-05-21 09:22 . 2010-05-21 09:22 7168 ----a-w- c:\programdata\Lexware\QuickSteuer Deluxe\2010\Daten\versionTaxDB.dll
2010-05-21 08:37 . 2010-05-21 08:37 716800 ----a-w- c:\windows\system32\lxter20VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 69632 ----a-w- c:\windows\system32\PXTTool80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 557056 ----a-w- c:\windows\system32\zvkonline80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 4661248 ----a-w- c:\windows\system32\LxXtreme70VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 27648 ----a-w- c:\windows\system32\LXTPSW20VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 1347584 ----a-w- c:\windows\system32\LXTool80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 110592 ----a-w- c:\windows\system32\LxUISettings20Native.dll
2010-05-21 08:37 . 2010-05-21 08:37 323584 ----a-w- c:\windows\system32\LxImport80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 299008 ----a-w- c:\windows\system32\LXBtr80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 225280 ----a-w- c:\windows\system32\LxBasics80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 192512 ----a-w- c:\windows\system32\LXDasi80VC8.dll
2010-05-21 08:37 . 2010-05-21 08:37 135168 ----a-w- c:\windows\system32\LxMail30VC8.dll
2010-05-04 19:15 . 2010-06-10 16:02 834048 ----a-w- c:\windows\system32\wininet.dll
2010-05-04 18:37 . 2010-06-10 16:02 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-05-01 14:13 . 2010-06-10 16:01 2037248 ----a-w- c:\windows\system32\win32k.sys
2009-10-20 16:33 . 2008-10-05 20:11 3211264 ----a-w- c:\program files\Common FilesDDBACSetup.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-07-31 01:00 698880 ----a-w- c:\program files\pdfforge Toolbar\pdfforgeToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-07-31 698880]
[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:08 143360 ----a-w- c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-03-18 2289664]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM"="c:\programdata\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-29 149040]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-08-28 655360]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-05 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
"Skytel"="Skytel.exe" [2007-08-03 1826816]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2007-10-18 7737344]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2008-02-01 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2008-01-26 778240]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-08-13 33136]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-08-13 37232]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"NBKeyScan"="c:\program files\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-05-24 1226288]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
Lexware Info Service.lnk - c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe [2008-11-3 339240]
Quicken 2009 Zahlungserinnerung.lnk - c:\program files\Lexware\Quicken\2009\billmind.exe [2008-5-20 98304]
Quicken 2010 Zahlungserinnerung.lnk - c:\program files\Lexware\Quicken\2010\billmind.exe [2009-8-14 192512]
web'n'walk Manager.lnk - c:\program files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe [2007-11-7 798720]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b9,1d,c0,5f,dc,9d,ca,01
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-07-09 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-06-26 51968]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 lullaby;lullaby;c:\windows\system32\DRIVERS\lullaby.sys [2007-09-26 15416]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 GtDetectSc;GtDetectSc;c:\program files\T-Mobile\web'n'walk Manager\GtDetectSc.exe [2007-11-05 204915]
S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\l160x86.sys [2007-10-31 46592]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-18 00:56 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
2010-07-29 c:\windows\Tasks\User_Feed_Synchronization-{DAB68CEA-F041-4386-BBA0-44555F98FA40}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
2010-02-01 c:\windows\Tasks\WebReg Officejet Pro 8500 A909g Series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2008-10-16 18:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.asus.com
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: omni-berlin.de\office
FF - ProfilePath - c:\users\**\AppData\Roaming\Mozilla\Firefox\Profiles\b8wou2yz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-Getdo - c:\users\**\AppData\Roaming\Adobe\Update\flacor.dat
HKCU-Run-{3F3891BB-FA6A-4289-5A86-1C475BC3DCCB} - c:\users\**\AppData\Roaming\Sipy\cebeu.exe
HKCU-Run-{20ACC2FE-5080-FE67-EBB9-8F8BFA3AEBDC} - c:\users\**\AppData\Roaming\Hyetfo\invy.exe
HKCU-Run-{F8433705-85A7-01ED-C274-1A9EF3D88763} - c:\users\**\AppData\Roaming\Xook\nyiq.exe
HKLM-Run-SearchSettings - c:\program files\pdfforge Toolbar\SearchSettings.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-29 23:02
Windows 6.0.6002 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\users\CHRIST~1\AppData\Local\Temp\catchme.dll 53248 bytes executable
C:\ADSM_PData_0150
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-07-29 23:05:32
ComboFix-quarantined-files.txt 2010-07-29 21:05
Vor Suchlauf: 10 Verzeichnis(se), 64.903.319.552 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 64.868.544.512 Bytes frei
- - End Of File - - D306AF926654AC1C6E70E11CC299EA60
|
|
30.07.2010, 10:55
| #9 |
| /// Malware-holic | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen ok rechtsklick avira schirm, guard deaktivieren, öffne c: dort qoobox, rechtsklick zu qoobox.rar oder zip hinzufügen, das hochladen http://www.trojaner-board.de/54791-a...ner-board.html gib bescheid wenn das erledigt ist |
|
30.07.2010, 13:16
| #10 |
| | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen hab den ordner hochgeladen. sind die dinger denn jetzt weg? bei antivir im quarantäneordner seh ich sie immernoch ?!  |
|
30.07.2010, 14:33
| #11 |
| /// Malware-holic | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen sie waren aktiev, deswegen sind sie sowohl in der quara von avira als auch von combofix gelöscht. was ist nun, formatieren oder nicht, meine meinung bleibt bestehen. |
|
31.07.2010, 22:33
| #12 |
| | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen sorry bin nicht eher zum antworten gekommen. also ich denke der laptop wird formatiert werden. bin ab morgen allerdinges eine woche erstmal weg und werde das dann danach in angriff nehmen. darf ich dich dann nochmal per pm oder so anschreiben wegen evtl tipps fürs neu machen? herzlichen dank auf jeden fall schonmal für die hilfe bisher! ach so, meinst du der laptop kann bis dahin trotzdem schonmal wieder genutzt werden ausser für onlinebanking? liebe grüße |
|
02.08.2010, 12:01
| #13 |
| /// Malware-holic | trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen aber keine online einkäufe usw. sag einfach bescheid, geb dann tipps zum absichern. |
|
| Themen zu trojaner TR/Agent.ahe , TR/PCK.Katusha.O.157 , TR/PSW.Zbot.128000.Y.3 , Onlinebanking angegriffen |
| .dll, 0 bytes, audiodg.exe, computer, dateien, desktop, dwm.exe, ebanking, explorer.exe, gesperrt, gfnexsrv.exe, internet, jusched.exe, laptop, log, log datei, lsass.exe, microsoft, modul, musik, namen, nicht sicher, nmbgmonitor.exe, nt.dll, prozesse, registry, rundll, services.exe, svchost.exe, tr/psw.zbot., trojaner, versteckte dateien, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe |
