| |
| |||||||
Log-Analyse und Auswertung: Antimalware Doctor und andere Schädlinge entfernt (Ordner- und Suchoptionen deaktiviert)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.08.2010, 17:22
| #1 | ||
| |  Antimalware Doctor und andere Schädlinge entfernt (Ordner- und Suchoptionen deaktiviert) System: Windows Vista Premium Home 64-Bit SP-1 Virenschutz: AVG Anti-Virus Free Windows Firewall Hallo zusammen, ich habe mir gestern den Antimalware Virus eingefangen. Nachdem die Applikation gestartet war, habe ich die Internetverbindung unterbrochen und versucht das Programm im abgesicherten Modus zu deinstallieren (natürlich erfolglos - die Deinstallation hat nur wieder zum Start der Software geführt). Daraufhin habe ich die newsecureapp70700*32.exe im Taskmanager beendet und im Internet nach einer schnellen Lösung gesucht. Ich bin auf dieses Forum gestossen und habe diese Anleitung abgearbeitet. Nachdem ich einen Scan mit " Malwarebytes Anti-Malware " durchgeführt habe, war ich recht überrascht, denn es wurden 38 infizierte Dateien auf meinem System identifiziert. Ich konnte alle Infektionen entfernen, dennoch kann ich die "Ordner- und Suchoptionen" nicht mehr bearbeiten (nicht mehr anwählbar/grau hinterlegt). Hier wäre ein Lösungsvorschlag echt nett. Ansonsten würde ich gerne wissen, wie es nun um mein System steht und ob ich es neu aufsetzen muss. Malwarebytes Anti-Malware Log (direkt nach dem Bereinigen): Zitat:
Zitat:
RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.08 (written by random/random) Run by carisma at 2010-08-26 18:09:39 Microsoft® Windows Vista™ Home Premium Service Pack 1 System drive C: has 27 GB (18%) free of 150 GB Total RAM: 4086 MB (57% free) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:09:42, on 26.08.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18943) Boot mode: Normal Running processes: C:\Program Files (x86)\Common Files\TerraTec\Remote\TTTvRc.exe C:\Program Files (x86)\AVG\AVG8\avgtray.exe C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe C:\Program Files (x86)\Razer\Diamondback\razerhid.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\Razer\Diamondback\razertra.exe C:\Program Files (x86)\Razer\Diamondback\razerofa.exe C:\Program Files (x86)\Alice Software\AliceEinwahl.exe C:\Users\carisma\Desktop\RSIT.exe C:\Program Files (x86)\trend micro\carisma.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~2\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Diamondback] "C:\Program Files (x86)\Razer\Diamondback\razerhid.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [Remote Control Editor] "C:\Program Files (x86)\Common Files\TerraTec\Remote\TTTvRc.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\carisma\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A12E1963-74AB-481C-833F-2E591956EA6A}: NameServer = 213.191.92.87 62.109.123.6 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG8\avgpp.dll O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing) O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Unknown owner - C:\Windows\system32\agr64svc.exe (file missing) O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVG\AVG8\avgwdsvc.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: Google Update Service (gupdate1c9c2b9e9f04c85) (gupdate1c9c2b9e9f04c85) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files (x86)\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 7964 bytes ======Scheduled tasks folder====== C:\Windows\tasks\GoogleUpdateTaskMachineCore.job C:\Windows\tasks\GoogleUpdateTaskMachineUA.job C:\Windows\tasks\User_Feed_Synchronization-{37FB543E-1C95-45F9-A9CA-0F12DD0296F2}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {AD6E6555-FB2C-47D4-8339-3E2965509877} - TerraTec Home Cinema - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL [2009-05-26 526336] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "AVG8_TRAY"=C:\PROGRA~2\AVG\AVG8\avgtray.exe [2010-07-09 2048352] "QuickTime Task"=C:\Program Files (x86)\QuickTime\QTTask.exe [2008-11-04 413696] "Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672] "SoundMAXPnP"=C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe [2007-02-21 1183744] "TkBellExe"=C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe [2009-06-19 198160] "Diamondback"=C:\Program Files (x86)\Razer\Diamondback\razerhid.exe [2007-02-14 147456] "SunJavaUpdateSched"=C:\Program Files (x86)\Java\jre6\bin\jusched.exe [2009-10-11 149280] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1555968] "Remote Control Editor"=C:\Program Files (x86)\Common Files\TerraTec\Remote\TTTvRc.exe [2009-05-26 1449984] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Microsoft Office.lnk - C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoFolderOptions"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoActiveDesktop"=1 "ForceActiveDesktopOn"=0 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Users\carisma\Downloads\UUSee 2007 English\UUSeePlayer.exe"="C:\Users\carisma\Downloads\UUSee 2007 English\UUSeePlayer.exe:*:Enabled:UUPlayer" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\SysWOW64\Notepad.exe %1 .js - open - C:\Windows\SysWOW64\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2010-08-26 18:09:39 ----D---- C:\rsit 2010-08-26 17:34:39 ----D---- C:\Program Files (x86)\trend micro 2010-08-26 02:08:07 ----D---- C:\Program Files (x86)\CCleaner 2010-08-25 23:39:09 ----D---- C:\Users\carisma\AppData\Roaming\Malwarebytes 2010-08-25 23:39:00 ----A---- C:\Windows\SysWOW64\drivers\mbamswissarmy.sys 2010-08-25 23:38:59 ----D---- C:\ProgramData\Malwarebytes 2010-08-25 23:38:59 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware 2010-08-25 23:26:30 ----ASH---- C:\hiberfil.sys 2010-08-25 21:32:44 ----D---- C:\Users\carisma\AppData\Roaming\90FDCB3FD5D77C447892E331FD7EC42E 2010-08-22 07:00:47 ----A---- C:\Windows\dd_ATL90SP1_KB973924MSI1640.txt 2010-08-22 07:00:43 ----A---- C:\Windows\dd_ATL90SP1_KB973924UI1640.txt 2010-08-21 17:31:40 ----D---- C:\Program Files (x86)\Microsoft.NET 2010-08-15 17:39:33 ----D---- C:\Users\carisma\AppData\Roaming\elsterformular 2010-08-15 17:31:59 ----D---- C:\ProgramData\elsterformular 2010-08-13 21:30:54 ----D---- C:\Users\carisma\AppData\Roaming\Mp3tag 2010-08-13 21:30:40 ----D---- C:\Program Files (x86)\Mp3tag 2010-08-13 09:30:58 ----D---- C:\Users\carisma\AppData\Roaming\WinRAR 2010-08-12 22:46:44 ----D---- C:\Program Files (x86)\eMule 2010-08-11 07:53:33 ----D---- C:\Users\carisma\AppData\Roaming\Adobe 2010-08-11 00:37:39 ----A---- C:\Windows\SysWOW64\rtutils.dll 2010-08-11 00:37:32 ----A---- C:\Windows\SysWOW64\iccvid.dll 2010-08-11 00:37:10 ----A---- C:\Windows\SysWOW64\iertutil.dll 2010-08-11 00:37:09 ----A---- C:\Windows\SysWOW64\mshtml.dll 2010-08-11 00:37:08 ----A---- C:\Windows\SysWOW64\ieframe.dll 2010-08-11 00:37:06 ----A---- C:\Windows\SysWOW64\urlmon.dll 2010-08-11 00:37:06 ----A---- C:\Windows\SysWOW64\msfeeds.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\wininet.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\occache.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\mstime.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\msfeedsbs.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\ieUnatt.exe 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\ieui.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\iesysprep.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\iesetup.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\iernonce.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\iepeers.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\iedkcs32.dll 2010-08-11 00:37:05 ----A---- C:\Windows\SysWOW64\ie4uinit.exe 2010-08-11 00:37:04 ----A---- C:\Windows\SysWOW64\msfeedssync.exe 2010-08-11 00:37:04 ----A---- C:\Windows\SysWOW64\jsproxy.dll 2010-08-11 00:37:01 ----A---- C:\Windows\SysWOW64\msxml3.dll 2010-08-11 00:36:58 ----A---- C:\Windows\SysWOW64\schannel.dll 2010-08-05 20:18:40 ----D---- C:\Users\carisma\AppData\Roaming\DVDVideoSoftIEHelpers 2010-08-05 20:17:18 ----D---- C:\Program Files (x86)\Common Files\Skype 2010-08-04 00:37:34 ----A---- C:\Windows\SysWOW64\shell32.dll 2010-07-27 20:54:15 ----D---- C:\ProgramData\Stardock 2010-07-27 03:43:35 ----D---- C:\Program Files (x86)\Stardock 2010-07-27 01:01:55 ----SH---- C:\ProgramData\desktop.ini ======List of files/folders modified in the last 1 months====== 2010-08-26 18:08:43 ----D---- C:\Windows\Prefetch 2010-08-26 18:07:46 ----D---- C:\Program Files (x86)\Mozilla Firefox 2010-08-26 17:34:39 ----D---- C:\Program Files (x86) 2010-08-26 17:33:51 ----D---- C:\Windows\Temp 2010-08-26 17:31:21 ----D---- C:\Windows 2010-08-26 17:10:18 ----RD---- C:\ProgramData 2010-08-26 17:10:18 ----D---- C:\Windows\Tasks 2010-08-26 17:10:18 ----D---- C:\Program Files (x86)\Google 2010-08-26 16:53:23 ----D---- C:\Windows\System32 2010-08-26 16:53:23 ----D---- C:\Windows\inf 2010-08-26 09:37:06 ----HD---- C:\$AVG8.VAULT$ 2010-08-26 02:21:27 ----D---- C:\Windows\Debug 2010-08-26 02:03:02 ----D---- C:\Windows\SysWOW64 2010-08-26 02:00:55 ----SHD---- C:\System Volume Information 2010-08-25 23:39:00 ----D---- C:\Windows\SysWOW64\drivers 2010-08-25 22:40:32 ----D---- C:\Windows\WindowsMobile 2010-08-25 20:11:40 ----D---- C:\Program Files (x86)\Warcraft III 2010-08-25 10:22:22 ----A---- C:\Users\carisma\AppData\Roaming\GoodnightTimer.ini 2010-08-22 07:01:18 ----SHD---- C:\Windows\Installer 2010-08-22 07:01:15 ----D---- C:\Windows\winsxs 2010-08-21 17:32:03 ----RSD---- C:\Windows\assembly 2010-08-21 17:31:45 ----D---- C:\ProgramData\Microsoft 2010-08-21 03:51:53 ----D---- C:\Program Files (x86)\Common Files 2010-08-15 17:39:05 ----D---- C:\Program Files (x86)\ElsterFormular 2010-08-15 14:55:26 ----A---- C:\Windows\SysWOW64\PnkBstrB.exe 2010-08-15 14:55:16 ----A---- C:\Windows\SysWOW64\PnkBstrA.exe 2010-08-15 14:55:15 ----A---- C:\Windows\SysWOW64\pbsvc.exe 2010-08-14 21:06:53 ----SD---- C:\Users\carisma\AppData\Roaming\Microsoft 2010-08-13 09:30:05 ----RD---- C:\Program Files 2010-08-13 09:20:37 ----D---- C:\Program Files (x86)\Internet Explorer 2010-08-13 09:20:35 ----D---- C:\Program Files (x86)\Windows Mail 2010-08-13 09:20:34 ----D---- C:\Windows\SysWOW64\migration 2010-08-13 09:15:03 ----D---- C:\Windows\Microsoft.NET 2010-08-12 22:02:36 ----D---- C:\Users\carisma\AppData\Roaming\FileZilla 2010-08-05 20:31:07 ----D---- C:\Users\carisma\AppData\Roaming\Skype 2010-08-05 20:18:31 ----D---- C:\Program Files (x86)\Common Files\DVDVideoSoft 2010-08-05 20:17:41 ----RD---- C:\Program Files (x86)\Skype 2010-08-05 20:17:16 ----D---- C:\ProgramData\Skype 2010-08-05 20:16:28 ----D---- C:\Users\carisma\AppData\Roaming\skypePM ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AvgLdx64;AVG Free AVI Loader Driver x64; C:\Windows\System32\Drivers\avgldx64.sys [] R1 AvgMfx64;AVG Free On-access Scanner Minifilter Driver x64; C:\Windows\System32\Drivers\avgmfx64.sys [] R1 AvgTdiA;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdia.sys [] R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\ADIHdAud.sys [] R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\agrsm64.sys [] R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032e.sys [] R3 HBtnKey;HBtnKey; C:\Windows\system32\DRIVERS\cpqbttn64.sys [] R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd64.sys [] R3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw5v64.sys [] R3 Razerlow;Razer Pro|Solutions; C:\Windows\system32\drivers\Razerlow.sys [] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [] S3 bdacap;PC-DTV Receiver; C:\Windows\system32\drivers\bdacap.sys [] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [] S3 mod7700;Cinergy T USB XXS service; C:\Windows\system32\DRIVERS\dvb7700all.sys [] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [] S3 NETw3v64;Intel(R) PRO/Wireless 3945ABG Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw3v64.sys [] S3 NETw4v64;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw4v64.sys [] S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\Windows\system32\DRIVERS\sscdbus.sys [] S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\Windows\system32\DRIVERS\sscdmdfl.sys [] S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\Windows\system32\DRIVERS\sscdmdm.sys [] S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [] S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [] S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [] S4 sfdrv01;StarForce Protection Environment Driver (version 1.x); C:\Windows\System32\drivers\sfdrv01.sys [] S4 sfhlp02;StarForce Protection Helper Driver (version 2.x); C:\Windows\System32\drivers\sfhlp02.sys [] S4 sfvfs02;StarForce Protection VFS Driver (version 2.x); C:\Windows\System32\drivers\sfvfs02.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AEADIFilters;Andrea ADI Filters Service; C:\Windows\system32\AEADISRV.EXE [] R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agr64svc.exe [] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424] R2 avg8emc;AVG Free8 E-mail Scanner; C:\PROGRA~2\AVG\AVG8\avgemc.exe [2009-08-15 908056] R2 avg8wd;AVG Free8 WatchDog; C:\PROGRA~2\AVG\AVG8\avgwdsvc.exe [2009-08-15 297752] R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-19 21504] R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-08-15 75064] R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-19 21504] R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-19 21504] S2 gupdate1c9c2b9e9f04c85;Google Update Service (gupdate1c9c2b9e9f04c85); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-04-21 133104] S3 Macromedia Licensing Service;Macromedia Licensing Service; C:\Program Files (x86)\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe [2009-03-31 68096] S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-19 19968] -----------------EOF----------------- RSIT info: [QUOTE]info.txtRSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.08 2010-08-26 18:09:44
======Uninstall list======
-->C:\Program Files (x86)\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
AC3Filter (remove only)-->C:\Program Files (x86)\AC3Filter\uninstall.exe
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
Alice Software 4.10.0-->C:\Program Files (x86)\Alice Software\AliceUninstall.exe
AVG Free 8.5-->C:\Program Files (x86)\AVG\AVG8\setup.exe /UNINSTALL
bwin Poker (remove only)-->"C:\Program Files (x86)\bwin\uninstall.exe"
CCleaner-->"C:\Program Files (x86)\CCleaner\uninst.exe"
Cinergy T USB XXS V2.03.03.29-->"C:\Program Files (x86)\Common Files\TerraTec\DriverInstall\Cinergy_T_USB_XXS\uninstall.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
DivX Codec-->C:\Program Files (x86)\DivX\DivXCodecUninstall.exe /CODEC
DivX Plus DirectShow Filters-->C:\Program Files (x86)\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files (x86)\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2 deutsch (DeCSS-frei)-->"C:\Program Files (x86)\DVD Shrink DE\unins000.exe"
ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly
ElsterFormular-->C:\Program Files (x86)\ElsterFormular\uninstall.exe
eMule-->"C:\Program Files (x86)\eMule\Uninstall.exe"
ffdshow [rev 2527] [2008-12-19]-->"C:\Program Files (x86)\ffdshow\unins000.exe"
FileZilla Client 3.2.0-->C:\Program Files (x86)\FileZilla FTP Client\uninstall.exe
Flash Slideshow Generator 2.1.4-->"C:\Program Files (x86)\Flash Slideshow Generator\unins000.exe"
Free Audio CD Burner version 1.4-->"C:\Program Files (x86)\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free YouTube to MP3 Converter version 3.7-->"C:\Program Files (x86)\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
Goodnight Timer 1.1-->"C:\Program Files (x86)\Goodnight Timer\unins000.exe"
Google Earth-->MsiExec.exe /X{F7B0939E-58DF-11DF-B3A6-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
GPL Ghostscript 8.71-->"C:\Program Files (x86)\gs\uninstgs.exe" "C:\Program Files (x86)\gs\gs8.71\uninstal.txt"
HijackThis 2.0.2-->"C:\Users\carisma\Desktop\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
IETester v0.3.3 (remove only)-->"C:\Program Files (x86)\Core Services\IETester\uninstall.exe"
IZArc 3.81-->"C:\Program Files (x86)\IZArc\unins000.exe"
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Keycraft (remove only)-->"C:\Program Files (x86)\Warcraft III\Keycraft\uninstall.exe"
LogonStudio-->C:\PROGRA~2\Stardock\OBJECT~1\LOGONS~1\UNWISE.EXE C:\PROGRA~2\Stardock\OBJECT~1\LOGONS~1\INSTALL.LOG
Macromedia Dreamweaver MX 2004-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x7 mmUninstall
Macromedia Extension Manager-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x7 mmUninstall
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{6AFCA4E1-9B78-3640-8F72-A7BF33448200}
Mozilla Firefox (3.0.19)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
Mp3tag v2.46a-->C:\Program Files (x86)\Mp3tag\Mp3tagUninstall.EXE
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
PDFCreator-->C:\Program Files (x86)\PDFCreator\unins000.exe
PhonerLite 1.61-->"C:\Program Files (x86)\PhonerLite\unins000.exe"
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Quake Live Internet Explorer Plugin-->MsiExec.exe /I{22E4AC9C-9E05-47D5-B7EB-A9FC1D762A7B}
Quake Live Mozilla Plugin-->MsiExec.exe /I{2BEB102E-F9CD-4881-984B-E288F66FD394}
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
Razer Diamondback-->C:\Program Files (x86)\InstallShield Installation Information\{DE4CF159-4AD2-4754-BDA0-5FB088C8B58B}\setup.exe -runfromtemp -l0x0009 -removeonly
RealPlayer-->C:\Program Files (x86)\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Samsung Master-->C:\Program Files (x86)\InstallShield Installation Information\{AEC0CEBC-0FC7-4716-8222-1C4A742719B1}\Setup.exe -runfromtemp -l0x0007 -removeonly
Samsung PC Studio 3 USB Driver Installer-->"C:\Program Files (x86)\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x0007 -removeonly
Skype Toolbars-->MsiExec.exe /I{981029E0-7FC9-4CF3-AB39-6F133621921A}
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SopCast 3.0.3-->C:\Program Files (x86)\SopCast\uninst.exe
SoundMAX-->C:\Program Files (x86)\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe -runfromtemp -l0x0007 -removeonly
TerraTec Home Cinema-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{63B9BAB5-F36A-4A3B-9E5C-68A7F212BFB9}\setup.exe" -l0x7
Uninstall 1.0.0.1-->"C:\Program Files (x86)\Common Files\DVDVideoSoft\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Visual C++ 8.0 Runtime Setup Package (x64)-->MsiExec.exe /I{021C4C4F-C93C-4425-BFFD-C2D16776BFAE}
VLC media player 0.9.8a-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Warcraft III-->C:\Windows\War3Unin.exe C:\Windows\War3Unin.dat
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Xvid 1.2.2 final uninstall-->"C:\Program Files (x86)\Xvid\unins000.exe"
======Security center information======
AV: AVG Anti-Virus Free
AS: AVG Anti-Virus Free (disabled)
AS: Windows-Defender
======System event log======
Computer Name: carisma-PC
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Ausgeführt".
Record Number: 195849
Source Name: Service Control Manager
Time Written: 20100826151017.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 7040
Message: Der Starttyp des Diensts "Google Software Updater" wurde von Automatisch starten in Deaktiviert geändert.
Record Number: 195850
Source Name: Service Control Manager
Time Written: 20100826151017.000000-000
Event Type: Informationen
User: carisma-PC\carisma
Computer Name: carisma-PC
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet".
Record Number: 195851
Source Name: Service Control Manager
Time Written: 20100826151018.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 195852
Source Name: Service Control Manager
Time Written: 20100826152252.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 195853
Source Name: Service Control Manager
Time Written: 20100826153922.000000-000
Event Type: Informationen
User:
=====Application event log=====
Computer Name: carisma-PC
Event Code: 0
Message:
Record Number: 29844
Source Name: gusvc
Time Written: 20100826113711.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".
Record Number: 29845
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20100826145323.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 29846
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20100826145323.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 0
Message:
Record Number: 29847
Source Name: gusvc
Time Written: 20100826151017.000000-000
Event Type: Informationen
User:
Computer Name: carisma-PC
Event Code: 0
Message:
Record Number: 29848
Source Name: gusvc
Time Written: 20100826151018.000000-000
Event Type: Informationen
User:
=====Security event log=====
Computer Name: carisma-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: CARISMA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x264
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 56955
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100826093930.571559-000
Event Type: Überwachung erfolgreich
User:
Computer Name: carisma-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 56956
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100826093930.571559-000
Event Type: Überwachung erfolgreich
User:
Computer Name: carisma-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: CARISMA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x264
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 56957
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100826093931.232559-000
Event Type: Überwachung erfolgreich
User:
Computer Name: carisma-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: CARISMA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x264
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 56958
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100826093931.232559-000
Event Type: Überwachung erfolgreich
User:
Computer Name: carisma-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 56959
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100826093931.232559-000
Event Type: Überwachung erfolgreich
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files (x86)\QuickTime\QTSystem\;C:\Program Files (x86)\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files (x86)\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\QuickTime\QTSystem\QTJava.zip
-----------------EOF-----------------
Vielen Dank für jegliche Hilfe! Geändert von coolibri (26.08.2010 um 17:24 Uhr) Grund: fehlender Link |
| Themen zu Antimalware Doctor und andere Schädlinge entfernt (Ordner- und Suchoptionen deaktiviert) |
| .vault, 64-bit, adware.adrotator, adware.bho, agere systems, applikation, avg free, browser, converter, desktop, device driver, e-mail, entfernen, excel, flash player, hdaudio.sys, helper, hijack.folderoptions, hijackthis, home, home premium, infizierte dateien, launch, local\temp, logfile, mozilla, mp3, msiexec.exe, neu aufsetzen, notepad.exe, programdata, programm, registry, remote control, rogue.antimalwaredoctor, rogue.securitysuite, scan, software, start menu, starten, svchost.exe, system, syswow64, taskmanager, trojan.agent.ge, usb, usbvideo.sys, vista, windows, wscript.exe |
Baum-Darstellung