Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.Backdoor.Papras/A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.09.2010, 21:49   #1
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Hallo,
die Google Suche hat mich hierher geführt und ich habe bereits die Threads zu dem o.g. Trojaner gelesen.
Da ich zuvor selbst aktiv war, weiß ich nicht, wie ich prüfend weiter machen sollte.
Hatte zuvor mit Trendmicro Housecall gearbeitet und dann schon OTL ausgeführt; scheinbar hatte Trendmicro den Papras nicht entfernt.
Gestern abend habe ich mir auf der Adobe-Site eine Testversion von Photoshop geladen und genau zu diesem Zeitpunkt ist die Datei igfxipv6.dll im Windows-Ordner System 32 erstellt worden. Weder die WinFirewall, noch Antivir oder AdAware haben gestern etwas angezeigt. Erst heute beim OnlineBanking erschien ein mir sehr dubioses TAN-AbfrageFeld, das sich zudem austricksen lies.
Danach meldete AdAware den Win32.Backdoor.Papras/A. Gut, dass meine Bank nicht mehr mit TANs arbeitet.
Die Meldung von AdAware:
Code:
ATTFilter
Logfile created: 09.09.2010 17:48:27
Ad-Aware version: 8.2.6
User performing scan: time traveler

*********************** Definitions database information ***********************
Lavasoft definition file: 149.391
Genotype definition file version: 2010/08/31 14:13:17

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan  (ID: smart)
Objects scanned: 103049
Objects detected: 1


Type              Detected
==========================
Processes.......:        1
Registry entries:        0
Hostfile entries:        0
Files...........:        0
Folders.........:        0
LSPs............:        0
Cookies.........:        0
Browser hijacks.:        0
MRU objects.....:        0



Quarantined items:
Description: c:\windows\system32\igfxipv6.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0

Scan and cleaning complete: Finished correctly after 784 seconds

*********************************** Settings ***********************************

Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
  ID: folderstoscan, enabled:1, value: 
  ID: useantivirus, enabled:1, value: true
  ID: sections, enabled:1
    ID: scancriticalareas, enabled:1, value: true
    ID: scanrunningapps, enabled:1, value: true
    ID: scanregistry, enabled:1, value: true
    ID: scanlsp, enabled:1, value: true
    ID: scanads, enabled:1, value: false
    ID: scanhostsfile, enabled:1, value: false
    ID: scanmru, enabled:1, value: false
    ID: scanbrowserhijacks, enabled:1, value: true
    ID: scantrackingcookies, enabled:1, value: true
      ID: closebrowsers, enabled:1, value: false
  ID: filescanningoptions, enabled:1
    ID: archives, enabled:1, value: false
    ID: onlyexecutables, enabled:1, value: true
    ID: skiplargerthan, enabled:1, value: 20480
    ID: scanrootkits, enabled:1, value: true
      ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
    ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
  ID: addtocontextmenu, enabled:1, value: true
  ID: playsoundoninfection, enabled:1, value: false
    ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
  ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
  ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: schedules, enabled:1, value: true
    ID: updatedaily1, enabled:1, value: Daily 1
      ID: time, enabled:1, value: Wed Mar 24 18:54:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily2, enabled:1, value: Daily 2
      ID: time, enabled:1, value: Wed Mar 24 00:54:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily3, enabled:1, value: Daily 3
      ID: time, enabled:1, value: Wed Mar 24 06:54:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily4, enabled:1, value: Daily 4
      ID: time, enabled:1, value: Wed Mar 24 12:54:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updateweekly1, enabled:1, value: Weekly
      ID: time, enabled:1, value: Wed Mar 24 18:54:00 2010
      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: true
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: true
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
  ID: showtrayicon, enabled:1, value: true
  ID: autoentertainmentmode, enabled:1, value: true
  ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
  ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
  ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
  ID: layers, enabled:1
    ID: useantivirus, enabled:1, value: true
    ID: usespywareheuristics, enabled:1, value: true
  ID: modules, enabled:1
    ID: processprotection, enabled:1, value: true
    ID: onaccessprotection, enabled:1, value: true
    ID: registryprotection, enabled:1, value: true
    ID: networkprotection, enabled:1, value: true


****************************** System information ******************************
Computer name: TOSHIBA1
Processor name: Intel(R) Core(TM)2 Duo CPU     T5470  @ 1.60GHz
Processor identifier: x86 Family 6 Model 15 Stepping 13
Processor speed: ~1596MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 3853, number of processors 2, processor features: [MMX,SSE,SSE2]
Physical memory available: 1454063616 bytes
Physical memory total: 2137747456 bytes
Virtual memory available: 2004922368 bytes
Virtual memory total: 2147352576 bytes
Memory load: 31%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 780 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1092 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1160 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1172 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1380 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1424 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1464 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1608 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1824 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1860 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1956 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2004 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2040 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 264 name: C:\WINDOWS\system32\agrsmsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 288 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 304 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 324 name: C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 380 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 652 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 672 name: C:\WINDOWS\system32\HPZipm12.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 792 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 924 name: C:\WINDOWS\system32\ThpSrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 936 name: C:\Programme\TOSHIBA\TME3\Tmesrv31.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1004 name: C:\WINDOWS\system32\TODDSrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1088 name: C:\Programme\UPHClean\uphclean.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1552 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1652 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2056 name: C:\WINDOWS\system32\wbem\wmiapsrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2072 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2092 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2100 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2580 name: C:\WINDOWS\system32\wscntfy.exe owner: time traveler domain: TOSHIBA1
PID: 2712 name: C:\Programme\Google\Update\GoogleUpdate.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2792 name: C:\WINDOWS\Explorer.EXE owner: time traveler domain: TOSHIBA1
PID: 3036 name: C:\WINDOWS\RTHDCPL.EXE owner: time traveler domain: TOSHIBA1
PID: 3100 name: C:\WINDOWS\system32\00THotkey.exe owner: time traveler domain: TOSHIBA1
PID: 3160 name: C:\Programme\Apoint2K\Apoint.exe owner: time traveler domain: TOSHIBA1
PID: 3312 name: C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe owner: time traveler domain: TOSHIBA1
PID: 3468 name: C:\WINDOWS\system32\TPSBattM.exe owner: time traveler domain: TOSHIBA1
PID: 3476 name: C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE owner: time traveler domain: TOSHIBA1
PID: 3512 name: C:\Programme\Apoint2K\HidFind.exe owner: time traveler domain: TOSHIBA1
PID: 3588 name: C:\Programme\Apoint2K\Apntex.exe owner: time traveler domain: TOSHIBA1
PID: 3692 name: C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe owner: time traveler domain: TOSHIBA1
PID: 3808 name: C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe owner: time traveler domain: TOSHIBA1
PID: 3860 name: C:\Programme\TOSHIBA\TME3\TMEEJME.EXE owner: time traveler domain: TOSHIBA1
PID: 3868 name: C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe owner: time traveler domain: TOSHIBA1
PID: 3896 name: C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe owner: time traveler domain: TOSHIBA1
PID: 4004 name: C:\Programme\Protector Suite QL\psqltray.exe owner: time traveler domain: TOSHIBA1
PID: 364 name: C:\WINDOWS\system32\thpsrv.exe owner: time traveler domain: TOSHIBA1
PID: 764 name: C:\WINDOWS\system32\hkcmd.exe owner: time traveler domain: TOSHIBA1
PID: 1320 name: C:\WINDOWS\system32\igfxpers.exe owner: time traveler domain: TOSHIBA1
PID: 424 name: C:\WINDOWS\system32\TFNF5.exe owner: time traveler domain: TOSHIBA1
PID: 296 name: C:\WINDOWS\system32\igfxsrvc.exe owner: time traveler domain: TOSHIBA1
PID: 2516 name: C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe owner: time traveler domain: TOSHIBA1
PID: 2196 name: C:\WINDOWS\vsnpstd3.exe owner: time traveler domain: TOSHIBA1
PID: 2540 name: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe owner: time traveler domain: TOSHIBA1
PID: 2556 name: C:\Programme\pdf24\pdf24.exe owner: time traveler domain: TOSHIBA1
PID: 2984 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: time traveler domain: TOSHIBA1
PID: 2896 name: C:\WINDOWS\system32\igfxext.exe owner: time traveler domain: TOSHIBA1
PID: 2676 name: C:\Programme\DivX\DivX Update\DivXUpdate.exe owner: time traveler domain: TOSHIBA1
PID: 2388 name: C:\WINDOWS\system32\ctfmon.exe owner: time traveler domain: TOSHIBA1
PID: 3104 name: C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe owner: time traveler domain: TOSHIBA1
PID: 3084 name: C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE owner: time traveler domain: TOSHIBA1
PID: 3136 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe owner: time traveler domain: TOSHIBA1
PID: 3684 name: C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe owner: time traveler domain: TOSHIBA1
PID: 1224 name: C:\Programme\Mozilla Firefox\firefox.exe owner: time traveler domain: TOSHIBA1
PID: 1508 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: time traveler domain: TOSHIBA1
PID: 5748 name: C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: time traveler domain: TOSHIBA1

Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
          imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
          imagepath: Component Categories cache daemon
Name: PostBootReminder
          imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
          imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
          imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: WPDShServiceObj
          imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
Name: RTHDCPL
          imagepath: RTHDCPL.EXE
Name: Alcmtr
          imagepath: ALCMTR.EXE
Name: 00THotkey
          imagepath: C:\WINDOWS\system32\00THotkey.exe
Name: 000StTHK
          imagepath: 000StTHK.exe
Name: Apoint
          imagepath: C:\Programme\Apoint2K\Apoint.exe
Name: SmoothView
          imagepath: C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
Name: TPSODDCtl
          imagepath: TPSODDCtl.exe
Name: TPSMain
          imagepath: TPSMain.exe
Name: TMERzCtl.EXE
          imagepath: C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
Name: TMESRV.EXE
          imagepath: C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
Name: TOSDCR
          imagepath: TOSDCR.EXE
Name: TosHKCW.exe
          imagepath: "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
Name: TAudEffect
          imagepath: C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe /run
Name: TFncKy
          imagepath: TFncKy.exe
Name: DDWMon
          imagepath: C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
Name: PSQLLauncher
          imagepath: "C:\Programme\Protector Suite QL\launcher.exe" /startup
Name: topi
          imagepath: C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
Name: ThpSrv
          imagepath: C:\WINDOWS\system32\thpsrv /logon
Name: IgfxTray
          imagepath: C:\WINDOWS\system32\igfxtray.exe
Name: HotKeysCmds
          imagepath: C:\WINDOWS\system32\hkcmd.exe
Name: Persistence
          imagepath: C:\WINDOWS\system32\igfxpers.exe
Name: TFNF5
          imagepath: TFNF5.exe
Name: DpUtil
          imagepath: C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
Name: snpstd3
          imagepath: C:\WINDOWS\vsnpstd3.exe
Name: TkBellExe
          imagepath: "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
Name: PDFPrint
          imagepath: C:\Programme\pdf24\pdf24.exe
Name: avgnt
          imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Name: SunJavaUpdateSched
          imagepath: "C:\Programme\Java\jre6\bin\jusched.exe"
Name: DivXUpdate
          imagepath: "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
Name: AdobeAAMUpdater-1.0
          imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
Name: SwitchBoard
          imagepath: C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe
Name: AdobeCS5ServiceManager
          imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
Name: CTFMON.EXE
          imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name: 
          imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name: 
          location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
          imagepath: C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe

Bootexecute items:
Name: 
          imagepath: autocheck autochk *
Name: 
          imagepath: lsdelete

Running services:
Name: AgereModemAudio
          displayname: Agere Modem Call Progress Audio
Name: Akamai
          displayname: Akamai NetSession Interface
Name: ALG
          displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
          displayname: Avira AntiVir Planer
Name: AntiVirService
          displayname: Avira AntiVir Guard
Name: AudioSrv
          displayname: Windows Audio
Name: BITS
          displayname: Intelligenter Hintergrundübertragungsdienst
Name: Browser
          displayname: Computerbrowser
Name: CFSvcs
          displayname: ConfigFree Service
Name: CryptSvc
          displayname: Kryptografiedienste
Name: DcomLaunch
          displayname: DCOM-Server-Prozessstart
Name: Dhcp
          displayname: DHCP-Client
Name: dmserver
          displayname: Verwaltung logischer Datenträger
Name: Dnscache
          displayname: DNS-Client
Name: ERSvc
          displayname: Fehlerberichterstattungsdienst
Name: Eventlog
          displayname: Ereignisprotokoll
Name: EventSystem
          displayname: COM+-Ereignissystem
Name: helpsvc
          displayname: Hilfe und Support
Name: JavaQuickStarterService
          displayname: Java Quick Starter
Name: lanmanserver
          displayname: Server
Name: lanmanworkstation
          displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
          displayname: Lavasoft Ad-Aware Service
Name: LmHosts
          displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
          displayname: Netzwerkverbindungen
Name: Nla
          displayname: NLA (Network Location Awareness)
Name: OMSI download service
          displayname: Sony Ericsson OMSI download service
Name: PlugPlay
          displayname: Plug & Play
Name: Pml Driver HPZ12
          displayname: Pml Driver HPZ12
Name: PolicyAgent
          displayname: IPSEC-Dienste
Name: ProtectedStorage
          displayname: Geschützter Speicher
Name: RasMan
          displayname: RAS-Verbindungsverwaltung
Name: RemoteRegistry
          displayname: Remote-Registrierung
Name: RpcSs
          displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
          displayname: Sicherheitskontenverwaltung
Name: Schedule
          displayname: Taskplaner
Name: seclogon
          displayname: Sekundäre Anmeldung
Name: SENS
          displayname: Systemereignisbenachrichtigung
Name: SharedAccess
          displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
          displayname: Shellhardwareerkennung
Name: Spooler
          displayname: Druckwarteschlange
Name: srservice
          displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
          displayname: SSDP-Suchdienst
Name: stisvc
          displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
          displayname: Telefonie
Name: TermService
          displayname: Terminaldienste
Name: Themes
          displayname: Designs
Name: Thpsrv
          displayname: TOSHIBA Festplattenschutz
Name: Tmesrv
          displayname: Tmesrv3
Name: TODDSrv
          displayname: TOSHIBA Optical Disc Drive Service
Name: TrkWks
          displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UPHClean
          displayname: User Profile Hive Cleanup
Name: W32Time
          displayname: Windows-Zeitgeber
Name: WebClient
          displayname: WebClient
Name: winmgmt
          displayname: Windows-Verwaltungsinstrumentation
Name: WmiApSrv
          displayname: WMI-Leistungsadapter
Name: wscsvc
          displayname: Sicherheitscenter
Name: wuauserv
          displayname: Automatische Updates
Name: WZCSVC
          displayname: Konfigurationsfreie drahtlose Verbindung
         
Die Meldung von OTL (obwohl beim Neustart anzeigt wurde, dass igfxipv6.dll entfernt wurde, erscheint dies nicht im Protokoll):
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\drmustat not found.
File C:\WINDOWS\system32\evenrcp.dll not found.
========== FILES ==========
File\Folder C:\WINDOWS\system32\evenrcp.dll not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrator
 
User: All Users
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Heide
->Flash cache emptied: 689 bytes
 
User: LocalService
 
User: NetworkService
 
User: time traveler
->Flash cache emptied: 1934280 bytes
 
Total Flash Files Cleaned = 2,00 mb
 
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 43170 bytes
->Flash cache emptied: 0 bytes
 
User: Heide
->Temp folder emptied: 604876 bytes
->Temporary Internet Files folder emptied: 34542 bytes
->FireFox cache emptied: 34178419 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 376424 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: time traveler
->Temp folder emptied: 726121164 bytes
->Temporary Internet Files folder emptied: 1660281 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 22145407 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2676103 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 205264837 bytes
RecycleBin emptied: 1278697 bytes
 
Total Files Cleaned = 948,00 mb
 
 
OTL by OldTimer - Version 3.2.11.0 log created on 09092010_210646

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_120.dat not found!

Registry entries deleted on Reboot...
         
Ist das System wieder sauber - wie kann ich das prüfen?

Vielen Danke, Sanne

P.S.: Mit dem CCleaner hatte ich zuvor auch gearbeitet.

P.P.S.: Ein Screenshot der Fake-Tan-Abfrage

Geändert von sanne2010 (09.09.2010 um 22:03 Uhr) Grund: Ergänzung

Alt 09.09.2010, 22:05   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Zitat:
Gestern abend habe ich mir auf der Adobe-Site eine Testversion von Photoshop geladen
Wirklich von der Adobeseite??
Ich hab nämlich jetzt schon den Hinweis von einem anderen Opfer gekommen, dass er den Papras bekam, als er über den Firefox seinen Flashplayer aktualisieren ließ. Hat Adobe da geschlampt?


Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 10.09.2010, 16:12   #3
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Danke Arne!

Hier die Logs (noch 2 Trojaner gefunden):
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4584

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.09.2010 00:55:18
mbam-log-2010-09-10 (00-55-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 267812
Laufzeit: 2 Stunde(n), 33 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\time traveler\x.exe (Trojan.KillAV) -> Quarantined and deleted successfully.
         
Code:
ATTFilter
OTL logfile created on: 10.09.2010 16:01:29 - Run 1
OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 93,28 Gb Free Space | 62,58% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,69 Gb Total Space | 0,91 Gb Free Space | 24,81% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: TOSHIBA1
Current User Name: time traveler
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe (Sony Ericsson Mobile Communications AB)
PRC - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\ThpSrv.exe (TOSHIBA Corporation)
PRC - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
PRC - C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\DDWMon.exe (TOSHIBA Corporation)
PRC - C:\WINDOWS\system32\TPSBattM.exe (TOSHIBA Corporation)
PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation)
PRC - C:\WINDOWS\system32\agrsmsvc.exe (Agere Systems)
PRC - C:\WINDOWS\vsnpstd3.exe ()
PRC - C:\Programme\Apoint2K\hidfind.exe (Alps Electric Co., Ltd.)
PRC - C:\Programme\TOSHIBA\TME3\TMERzCtl.exe (TOSHIBA)
PRC - C:\WINDOWS\system32\00THotkey.exe (TOSHIBA Corporation)
PRC - C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe (TOSHIBA)
PRC - C:\WINDOWS\system32\TODDSrv.exe (TOSHIBA Corporation)
PRC - C:\Programme\Protector Suite QL\psqltray.exe (UPEK Inc.)
PRC - C:\WINDOWS\system32\TFNF5.exe (TOSHIBA Corp.)
PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)
PRC - C:\Programme\TOSHIBA\TME3\TMESRV31.exe (TOSHIBA)
PRC - C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe (TOSHIBA Corporation)
PRC - C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe (TOSHIBA)
PRC - C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe (TOSHIBA CORPORATION)
PRC - C:\Programme\UPHClean\uphclean.exe (Microsoft Corporation)
PRC - C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
PRC - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION)
PRC - C:\Programme\TOSHIBA\TME3\TMEEJME.exe (TOSHIBA)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Akamai) -- C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll ()
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (SwitchBoard) -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe (Macromedia)
SRV - (OMSI download service) -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe ()
SRV - (Thpsrv) -- C:\WINDOWS\system32\ThpSrv.exe (TOSHIBA Corporation)
SRV - (TOSHIBA Bluetooth Service) -- c:\Programme\TOSHIBA\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (AgereModemAudio) -- C:\WINDOWS\system32\agrsmsvc.exe (Agere Systems)
SRV - (TODDSrv) -- C:\WINDOWS\system32\TODDSrv.exe (TOSHIBA Corporation)
SRV - (MSSQL$MSSMLBIZ) SQL Server (MSSMLBIZ) -- c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLBrowser) -- c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
SRV - (SQLWriter) -- c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
SRV - (Tmesrv) -- C:\Programme\TOSHIBA\TME3\Tmesrv31.exe (TOSHIBA)
SRV - (MSSQLServerADHelper) -- c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)
SRV - (UPHClean) -- C:\Programme\UPHClean\uphclean.exe (Microsoft Corporation)
SRV - (CFSvcs) -- C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (TSMPacket) -- C:\WINDOWS\System32\DRIVERS\tsmpkt.sys File not found
DRV - (HECI) Intel(R) -- C:\WINDOWS\System32\DRIVERS\HECI.sys File not found
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (seehcri) -- C:\WINDOWS\system32\drivers\seehcri.sys (Sony Ericsson Mobile Communications)
DRV - (dsltestSp5) -- C:\WINDOWS\system32\drivers\DslTestSp5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation)
DRV - (Thpdrv) -- C:\WINDOWS\system32\DRIVERS\thpdrv.sys (TOSHIBA Corporation)
DRV - (tosrfusb) -- C:\WINDOWS\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (SNPSTD3) USB PC Camera (SNPSTD3) -- C:\WINDOWS\system32\drivers\snpstd3.sys (Sonix Co. Ltd.)
DRV - (tdudf) -- C:\WINDOWS\system32\drivers\tdudf.sys (TOSHIBA Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (Thpevm) -- C:\WINDOWS\system32\DRIVERS\Thpevm.SYS (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINDOWS\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (tosrfbd) -- C:\WINDOWS\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TEchoCan) -- C:\WINDOWS\system32\drivers\TEchoCan.sys (TOSHIBA Corporation)
DRV - (trudf) -- C:\WINDOWS\system32\drivers\trudf.sys (TOSHIBA Corporation)
DRV - (TVALZ) -- C:\WINDOWS\system32\DRIVERS\TVALZ.SYS (TOSHIBA Corporation)
DRV - (iaStor) -- C:\WINDOWS\system32\drivers\iaStor.sys (Intel Corporation)
DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation)
DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)
DRV - (TosRfSnd) -- C:\WINDOWS\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (tosrfbnp) -- C:\WINDOWS\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosrfec) -- C:\WINDOWS\system32\drivers\tosrfec.sys (TOSHIBA Corporation)
DRV - (tdcmdpst) -- C:\WINDOWS\system32\drivers\tdcmdpst.sys (TOSHIBA Corporation.)
DRV - (tosporte) -- C:\WINDOWS\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (FDLUBASE) AVM FRITZ!Card DSL SL USB (WinXP/2000) -- C:\WINDOWS\system32\drivers\fdlubase.sys (AVM Berlin)
DRV - (AVMDSLPPPOE) -- C:\WINDOWS\system32\drivers\avmdsloe.sys (AVM GmbH)
DRV - (AVMNDSL) -- C:\WINDOWS\system32\drivers\avmndsl.sys (AVM GmbH)
DRV - (FdRedir) -- C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys (UPEK Inc.)
DRV - (FileDisk2) -- C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys (UPEK Inc.)
DRV - (TcUsb) -- C:\WINDOWS\system32\drivers\tcusb.sys (UPEK Inc.)
DRV - (smihlp) -- C:\Programme\Protector Suite QL\smihlp.sys (UPEK Inc.)
DRV - (Tosrfcom) -- C:\WINDOWS\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (IFXTPM) -- C:\WINDOWS\system32\drivers\ifxtpm.sys (Infineon Technologies AG)
DRV - (tosrfnds) -- C:\WINDOWS\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (TMEI3E) -- C:\WINDOWS\system32\drivers\TMEI3E.sys (Toshiba Corporation)
DRV - (Netdevio) -- C:\WINDOWS\system32\drivers\Netdevio.sys (TOSHIBA Corporation.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 127.0.0.1:4001
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.1
FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5
FF - prefs.js..extensions.enabledItems: en-US@dictionaries.addons.mozilla.org:4.0.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: webresearch@macropool.com:1.07
FF - prefs.js..extensions.enabledItems: optout@google.com:1.2
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 4001
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 4001
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.09 18:38:45 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.09 18:26:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.07 22:28:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.02.21 16:57:31 | 000,000,000 | ---D | M]
 
[2010.08.25 21:56:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Extensions
[2010.08.25 21:56:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.09.09 20:11:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions
[2010.04.27 22:36:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.27 22:36:27 | 000,000,000 | ---D | M] (Torbutton) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2010.02.23 19:48:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2010.02.23 19:48:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\en-US@dictionaries.addons.mozilla.org
[2009.11.08 18:28:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\OberonGameHost@OberonGames.com
[2010.08.08 23:13:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\optout@google.com
[2008.04.16 20:58:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\Thinger@blueprintit.co.uk
[2010.08.05 20:53:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com
[2010.04.13 20:24:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions
[2009.04.16 01:05:11 | 000,000,000 | ---D | M] (CS Lite) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{00084897-021a-4361-8423-083407a033e0}
[2010.04.13 20:24:29 | 000,000,000 | ---D | M] (Image Zoom) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}
[2009.07.07 19:39:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.13 20:24:28 | 000,000,000 | ---D | M] (Groowe Search Toolbar) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{268ad77e-cff8-42d7-b479-da60a7b93305}
[2008.12.31 01:33:40 | 000,000,000 | ---D | M] (Forecastbar Enhanced) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{3CE993BF-A3D9-4fd2-B3B6-768CBBC337F8}
[2008.12.31 01:33:38 | 000,000,000 | ---D | M] (JonDoFox) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{437be45a-4114-11dd-b9ab-71d256d89593}
[2010.04.13 20:24:29 | 000,000,000 | ---D | M] (ChatZilla) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2}
[2009.04.16 01:05:11 | 000,000,000 | ---D | M] (Dr.Web anti-virus link checker) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{6614d11d-d21d-b211-ae23-815234e1ebb5}
[2008.12.31 01:33:39 | 000,000,000 | ---D | M] (SafeCache) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{670a77c5-010e-4476-a8ce-d09171318839}
[2008.12.31 01:33:40 | 000,000,000 | ---D | M] (Copy Plain Text) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{723AAF16-AF1F-4404-A5D7-0BFE39766605}
[2010.04.13 20:24:29 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2009.01.07 23:19:09 | 000,000,000 | ---D | M] (TabRenamizer) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{792BDDFE-2E7C-42ed-B18D-18154D2761BD}
[2008.12.31 01:33:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{89736E8E-4B14-4042-8C75-AD00B6BD3900}
[2009.04.16 01:05:11 | 000,000,000 | ---D | M] (MR Tech Toolkit) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{9669CC8F-B388-42FE-86F4-CB5E7F5A8BDC}
[2008.12.31 01:33:40 | 000,000,000 | ---D | M] (CacheIt!) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{98449521-9320-4257-aa35-9e1a39c8cbe0}
[2008.12.31 01:33:43 | 000,000,000 | ---D | M] (Sage) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{a6ca9b3b-5e52-4f47-85d8-cca35bb57596}
[2008.12.31 01:33:40 | 000,000,000 | ---D | M] (Calculator) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{AA052FD6-366A-4771-A591-0D8DC551585D}
[2008.12.31 01:33:39 | 000,000,000 | ---D | M] (Temporary Inbox) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{ac1e10b8-206d-4746-a18e-0483852dc20b}
[2009.01.07 23:18:54 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2008.12.31 01:33:43 | 000,000,000 | ---D | M] (Plain Text to Link) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{C90B0826-5A17-4970-A5BF-A43D22452E21}
[2008.12.31 01:33:38 | 000,000,000 | ---D | M] (Media Pirate - The video downloader) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{cc265d3d-3f6f-0170-a78b-bbbaef7a868c}
[2008.12.31 01:33:43 | 000,000,000 | ---D | M] (JSView) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{cf15270e-cf08-4def-b4ea-6a5ac23f3bca}
[2009.01.07 23:18:54 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.01.07 23:19:05 | 000,000,000 | ---D | M] (FoxClocks) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d37dc5d0-431d-44e5-8c91-49419370caa1}
[2008.12.31 01:33:39 | 000,000,000 | ---D | M] (Menu Editor) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{EDA7B1D7-F793-4e03-B074-E6F303317FB0}
[2009.04.16 01:05:12 | 000,000,000 | ---D | M] (ScribeFire) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{F807FACD-E46A-4793-B345-D58CB177673C}
[2010.04.13 20:24:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\abhere2@moztw.org
[2008.12.31 01:33:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\beysim@beysim.net
[2008.12.31 01:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\elemhidehelper@adblockplus.org
[2010.03.24 16:13:02 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\searchplugins\conduit.xml
[2010.09.09 18:36:23 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.21 00:08:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}
[2010.03.21 15:52:44 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.21 15:52:44 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.21 15:52:44 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.21 15:52:44 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.21 15:52:44 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Web-Recherche-Browserhilfsobjekt) - {255215E2-87DC-4819-8724-D0B4C94DBEF5} - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O3 - HKLM\..\Toolbar: (Web-Recherche-Bearbeitungsleiste) - {5338DF6C-3B3B-4E38-8B31-7B99986627B2} - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O3 - HKLM\..\Toolbar: (Web-Recherche-Symbolleiste) - {8F0F47B1-7D4B-4834-A981-91E2A3DCE069} - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [000StTHK] C:\WINDOWS\System32\000StTHK.exe ()
O4 - HKLM..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DDWMon] C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe ()
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe (TOSHIBA)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [PSQLLauncher] C:\Programme\Protector Suite QL\launcher.exe (UPEK Inc.)
O4 - HKLM..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe ()
O4 - HKLM..\Run: [TAudEffect] C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe (TOSHIBA)
O4 - HKLM..\Run: [TFncKy]  File not found
O4 - HKLM..\Run: [TFNF5] C:\WINDOWS\System32\TFNF5.exe (TOSHIBA Corp.)
O4 - HKLM..\Run: [ThpSrv] C:\WINDOWS\System32\thpsrv.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE (TOSHIBA)
O4 - HKLM..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE (TOSHIBA)
O4 - HKLM..\Run: [topi] C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA)
O4 - HKLM..\Run: [TOSDCR] C:\WINDOWS\System32\TOSDCR.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [TosHKCW.exe] C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe (TOSHIBA CORPORATION)
O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [TPSODDCtl] C:\WINDOWS\System32\TPSODDCtl.exe (TOSHIBA Corporation)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE (Microsoft Corporation)
O4 - HKCU..\Run: [Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe (Sony Ericsson Mobile Communications AB)
O4 - HKCU..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Citavi Picker... - C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html ()
O8 - Extra context menu item: Web-Recherche: Bild speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Bild speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Link-Adresse speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Markierte Ziele speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Markierung speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Markierung speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Ziel speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O8 - Extra context menu item: Web-Recherche: Ziel speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH)
O9 - Extra Button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains: internet ([]about in Internet)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab (Symantec AntiVirus scanner)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206727877218 (WUWebControl Class)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mctp {d7b95390-b1c5-11d0-b111-0080c712fe82} - C:\Programme\Microsoft ActiveSync\aatp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.)
O20 - Winlogon\Notify\TosBtNP: DllName - TosBtNP.dll - C:\WINDOWS\System32\TosBtNP.dll (TOSHIBA CORPORATION)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.06.08 13:43:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: clipsrvc - (C:\WINDOWS\system32\igfxipv6.dll) - C:\WINDOWS\System32\igfxipv6.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.10 15:55:55 | 000,000,000 | R-SD | C] -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\Safe
[2010.09.09 22:15:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Malwarebytes
[2010.09.09 22:14:47 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.09 22:14:45 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.09 22:14:45 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.09 22:14:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.09 21:06:46 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.09.09 19:07:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\time traveler\Recent
[2010.09.09 18:49:05 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.09.09 18:45:13 | 000,000,000 | ---D | C] -- C:\adobeTemp
[2010.09.08 22:36:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2010.09.01 23:28:36 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Akamai
[2010.08.23 21:32:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\web-rechex1
[2010.08.15 16:02:30 | 000,016,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2010.08.15 16:02:09 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2010.08.12 20:48:09 | 001,419,232 | R--- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WdfCoinstaller01005.dll
[2010.08.12 00:06:44 | 000,000,000 | ---D | C] -- C:\divx
[2009.12.11 18:06:57 | 000,148,736 | ---- | C] (Avanquest Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpe1.dll
[2009.10.06 21:25:25 | 000,148,736 | ---- | C] (Avanquest Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpe5F.dll
[2007.03.12 11:41:52 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\vsnpstd3.dll
[2005.11.23 12:55:32 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd3.dll
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.10 15:59:41 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.09.10 15:56:46 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.10 15:55:49 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.10 15:55:37 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.10 15:55:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.10 15:55:31 | 2137,821,184 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.10 00:56:12 | 007,864,320 | -H-- | M] () -- C:\Dokumente und Einstellungen\time traveler\NTUSER.DAT
[2010.09.10 00:56:12 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\time traveler\ntuser.ini
[2010.09.10 00:35:00 | 000,001,102 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.09 21:59:23 | 000,030,901 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\backdoor.jpg
[2010.09.09 19:42:09 | 000,327,282 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg
[2010.09.09 17:56:43 | 000,238,648 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Grafik1.cdr
[2010.09.09 17:45:28 | 003,656,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.09 17:44:38 | 000,085,456 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.09.08 22:40:18 | 000,000,362 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
[2010.09.06 21:21:12 | 000,172,544 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\streetview092010.doc
[2010.09.06 20:55:40 | 000,172,032 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.02 23:02:28 | 000,000,067 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Tagebuch - Negative abfotografieren - how to - deviantPhoto.eu.URL
[2010.09.02 19:33:02 | 000,000,085 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Source Gobi Frauen kaufen Sie bei Globetrotter Ausrüstung!.URL
[2010.09.01 22:47:01 | 000,012,800 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\dm.doc
[2010.09.01 17:25:25 | 000,012,800 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\webBT2010.doc
[2010.09.01 16:43:26 | 001,000,960 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\warum_prozeus.doc
[2010.09.01 15:06:52 | 000,416,256 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus2.doc
[2010.09.01 15:01:53 | 000,261,120 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus.doc
[2010.08.30 21:50:19 | 000,143,872 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\gt-forum.doc
[2010.08.29 21:07:40 | 000,000,059 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Jocelyn Carlin New Zealand commercial portfolio- advertising, illustrative, portraiture, landscape, reportage, photoeassays.URL
[2010.08.29 17:53:18 | 000,553,545 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\jap.conf
[2010.08.26 21:40:00 | 000,105,984 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\condor2010.doc
[2010.08.25 22:09:07 | 000,000,080 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\„Ideen Initiative Zukunft“ – Jetzt bewerben.URL
[2010.08.18 22:37:22 | 000,000,153 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Australian surfer killed by shark named - Telegraph.URL
[2010.08.18 22:34:20 | 000,000,086 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\ScienceDaily New Species News.URL
[2010.08.18 22:08:53 | 000,000,078 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\learnline Bildungsserver NRW.URL
[2010.08.18 21:14:54 | 000,000,086 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Interdisziplinäres Fernstudium Umweltwissenschaften Weiterbildung Umwelt infernum.URL
[2010.08.17 17:36:01 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\zuviel.doc
[2010.08.17 17:34:35 | 000,485,554 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\magister.pdf
[2010.08.15 16:05:29 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.08.15 16:05:28 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.08.15 16:02:15 | 000,000,683 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.08.12 20:49:14 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
[2010.08.12 20:49:14 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
[2010.08.12 19:46:45 | 001,174,146 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.12 19:46:45 | 000,516,788 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.12 19:46:45 | 000,488,588 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.12 19:46:45 | 000,108,670 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.12 19:46:45 | 000,089,338 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.11 23:50:28 | 000,307,200 | ---- | M] (Koyote Soft - hxxp://www.koyotesoft.com) -- C:\WINDOWS\System32\TubeFinder.exe
 
========== Files Created - No Company Name ==========
 
[2010.09.09 21:59:18 | 000,030,901 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\backdoor.jpg
[2010.09.09 19:41:45 | 000,327,282 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg
[2010.09.09 17:56:42 | 000,238,648 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Grafik1.cdr
[2010.09.08 22:40:17 | 000,000,362 | ---- | C] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
[2010.09.06 21:21:11 | 000,172,544 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\streetview092010.doc
[2010.09.02 23:02:28 | 000,000,067 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Tagebuch - Negative abfotografieren - how to - deviantPhoto.eu.URL
[2010.09.02 19:33:02 | 000,000,085 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Source Gobi Frauen kaufen Sie bei Globetrotter Ausrüstung!.URL
[2010.09.01 21:55:42 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\dm.doc
[2010.09.01 16:46:01 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\webBT2010.doc
[2010.09.01 15:15:13 | 001,000,960 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\warum_prozeus.doc
[2010.09.01 15:06:52 | 000,416,256 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus2.doc
[2010.09.01 14:59:10 | 000,261,120 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus.doc
[2010.08.30 21:50:18 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\gt-forum.doc
[2010.08.29 21:07:40 | 000,000,059 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Jocelyn Carlin New Zealand commercial portfolio- advertising, illustrative, portraiture, landscape, reportage, photoeassays.URL
[2010.08.26 21:39:59 | 000,105,984 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\condor2010.doc
[2010.08.25 22:09:07 | 000,000,080 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\„Ideen Initiative Zukunft“ – Jetzt bewerben.URL
[2010.08.18 22:37:22 | 000,000,153 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Australian surfer killed by shark named - Telegraph.URL
[2010.08.18 22:34:20 | 000,000,086 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\ScienceDaily New Species News.URL
[2010.08.18 22:08:53 | 000,000,078 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\learnline Bildungsserver NRW.URL
[2010.08.18 21:14:54 | 000,000,086 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Interdisziplinäres Fernstudium Umweltwissenschaften Weiterbildung Umwelt infernum.URL
[2010.08.17 17:34:35 | 000,485,554 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\magister.pdf
[2010.08.17 17:29:31 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\zuviel.doc
[2010.08.12 20:49:14 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
[2010.08.12 20:49:14 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
[2010.01.11 19:33:31 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2009.08.04 21:47:39 | 000,000,098 | ---- | C] () -- C:\WINDOWS\WirelessFTP.INI
[2009.04.13 02:52:04 | 000,000,082 | ---- | C] () -- C:\WINDOWS\netdet.ini
[2009.04.13 02:51:46 | 000,856,064 | ---- | C] () -- C:\WINDOWS\System32\SWFGen.dll
[2009.04.13 02:51:45 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\TidyCOM.dll
[2009.01.25 01:12:07 | 000,188,300 | ---- | C] () -- C:\WINDOWS\xobglu32.dll
[2009.01.25 01:12:07 | 000,063,488 | ---- | C] () -- C:\WINDOWS\xobglu16.dll
[2008.10.24 20:50:31 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.08.17 16:35:47 | 000,003,083 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2008.08.17 16:35:28 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2008.08.05 22:55:22 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008.06.23 23:12:37 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0060DA2E12.sys
[2008.06.23 23:12:36 | 000,002,828 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
[2008.05.21 22:16:25 | 000,172,032 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.01 21:49:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI
[2008.03.30 13:50:24 | 000,000,106 | ---- | C] () -- C:\WINDOWS\Library.ini
[2008.03.29 18:51:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ToDisc.INI
[2008.03.28 21:37:10 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll
[2008.03.28 21:37:10 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll
[2008.03.28 20:13:40 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.28 18:56:06 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.03.28 18:55:38 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4814.dll
[2008.03.28 18:55:37 | 000,910,304 | ---- | C] () -- C:\WINDOWS\System32\igmedkrn.dll
[2007.07.06 15:36:06 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.07.06 15:36:06 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.07.06 15:36:05 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.07.06 15:36:04 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.07.06 08:04:56 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2007.07.06 08:04:56 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2007.07.06 08:04:56 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2007.07.06 08:04:56 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2007.07.06 08:04:56 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2007.07.06 08:04:56 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2007.06.11 09:53:55 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007.06.11 09:46:59 | 000,000,562 | ---- | C] () -- C:\WINDOWS\TBTdetect.ini
[2007.06.08 15:13:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI
[2007.06.08 14:52:33 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini
[2007.06.08 14:52:33 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll
[2007.06.08 14:52:33 | 000,010,146 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini
[2007.06.08 14:52:33 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini
[2007.06.08 13:46:42 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2007.06.08 13:34:47 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\ToshBIOS.dll
[2007.06.08 13:34:47 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2006.02.09 14:46:26 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\VSHP1020.DLL
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2004.12.27 18:48:36 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\gif89.dll
[2004.02.27 16:36:18 | 000,015,498 | ---- | C] () -- C:\WINDOWS\snpstd3.ini
[2003.11.18 02:37:20 | 000,072,192 | ---- | C] () -- C:\WINDOWS\System32\cszlib.dll
[1998.07.06 00:00:00 | 000,064,512 | ---- | C] () -- C:\WINDOWS\System32\MSCC2DE.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66BBBB3E
< End of report >
         
Code:
ATTFilter
OTL Extras logfile created on: 10.09.2010 16:01:29 - Run 1
OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 93,28 Gb Free Space | 62,58% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,69 Gb Total Space | 0,91 Gb Free Space | 24,81% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: TOSHIBA1
Current User Name: time traveler
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.js [@ = JSFile] -- C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe (Macromedia, Inc.)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
jsfile [open] -- "C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP" = 1033:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\WS_FTP\WS_FTP95.exe" = C:\Programme\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
"C:\Program Files\Real\RealPlayer\realplay.exe" = C:\Program Files\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0577A2AA-DEA0-4D40-8372-4211102D43E4}" = TOSHIBA Mic Effect
"{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}" = Macromedia Dreamweaver MX 2004
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{08CA9554-B5FE-4313-938F-D4A417B81175}" = QuickTime
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{12B3A009-A080-4619-9A2A-C6DB151D8D67}" = TOSHIBA Assist
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1E63ACB5-D45E-4856-8FC9-78F4B0D7BB80}" = TOSHIBA Sicherheits-Assistent
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2290A680-4083-410A-ADCC-7092C67FC052}" = Toshiba Online Product Information
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC-Diagnose-Tool
"{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}" = Microsoft SQL Server VSS Writer
"{2F353D44-73BB-4971-B31D-F7642E9E9531}" = Macromedia Flash MX 2004
"{2FFE93F0-BB72-4E52-8761-354D1AAA9387}" = Sony Ericsson PC Suite 6.009.00
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B8D9FA4-745C-47C9-962D-4ABE6ACE136B}" = TOSHIBA Mobile Extension3
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{400830CA-F056-4BBE-80A3-9DF9CA4FB889}" = TOSHIBA Direct Disc Writer
"{4323A3CF-D66F-46BC-AD16-B94D7BF05CF1}" = TOSHIBA Dienstprogramm für duales Zeigegerät
"{4761EB82-E8BD-45A4-B19B-586FA9D1D7E6}" = Camtasia Studio 6
"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12
"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client
"{56190F69-01D3-46CA-9861-43377C5E9B87}" = TOSHIBA Utilities
"{56995235-B76E-44A6-BA17-8FF13D3F907A}" = TOSHIBA Benutzerhandbücher
"{5DA0E02F-970B-424B-BF41-513A5018E4C0}" = TOSHIBA Disc Creator
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{64212898-097F-4F3F-AECA-6D34A7EF82DF}" = TOSHIBA Zoom-Dienstprogramm
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{737629F4-4111-4FD4-9071-29873B7C6426}" = Protector Suite 5.4
"{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}" = SSH Secure Shell
"{7862BAD8-A379-4128-8AA1-EFD5A9603C53}" = Wireless Hotkey
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD for TOSHIBA
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{94A90C69-71C1-470A-88F5-AA47ECC96B40}" = TOSHIBA HDD Protection
"{961034C0-58DF-11DF-97FD-005056806466}" = Google Earth Plug-in
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9ACBDDE2-DD2D-4103-8ECE-D1A9F7F03D1A}" = TOSHIBA Power Saver
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}" = CD/DVD Drive Acoustic Silencer
"{A040AC77-C1AA-4CC9-8931-9F648AF178F6}" = VC 9.0 Runtime
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5BA14E0-7384-11D4-BAE7-00409631A2C8}" = Macromedia Extension Manager
"{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}" = TOSHIBA Controls
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{B0513493-04B9-4F21-B4AB-83E750D54256}" = Adobe Photoshop Lightroom 2.7
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BBF5493A-05FB-4449-90DE-84A61EB78154}" = TOSHIBA SD Memory Boot Utility
"{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}" = Phase 5 HTML-Editor
"{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree
"{C081C7BF-86B9-453D-A91B-1DDC8204E9FA}" = Web-Recherche 3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C0FC3B56-E345-40CD-A5CB-7EB791CE3E74}" = TOSHIBA Password Utility
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C3A32068-8AB1-4327-BB16-BED9C6219DC7}" = Atheros Driver Installation Program
"{C720FA29-E544-4D07-8A25-E83D2311B0DF}" = Mindjet MindManager Viewer 7
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{D9E67746-9028-45C4-8924-8FDDFEA7F368}" = MD5 Fingerabdruck
"{DB780B85-B4B5-4864-A49C-9B706B169C93}" = TIPCI
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E56D39F8-2A9F-44B4-B068-A72E45A073E6}" = Safari
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}" = TOSHIBA SD Memory Utilities
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FAEEDF71-A043-455A-B1F7-F11D570C71BA}" = FDRTools Basic 2.2
"{FC4C645F-8EBC-4F1E-A517-D1505B43A374}" = TOSHIBA Wireless Key Logon
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{FF77941A-2BFA-4A18-BE2E-69B9498E4D55}" = User Profile Hive Cleanup Service
"AC3Filter" = AC3Filter (remove only)
"Ad-Aware" = Ad-Aware
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind
"CCleaner" = CCleaner
"Citavi" = Citavi 2.5.2.0
"Dia" = Dia (nur entfernen)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"Free FLV Converter_is1" = Free FLV Converter V 6.92.0
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.1
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InfoRapid KnowledgeMap" = InfoRapid KnowledgeMap
"InstallShield_{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC-Diagnose-Tool
"InstallShield_{56190F69-01D3-46CA-9861-43377C5E9B87}" = TOSHIBA Dienstprogramme
"InstallShield_{9ACBDDE2-DD2D-4103-8ECE-D1A9F7F03D1A}" = TOSHIBA Power Saver
"InstallShield_{C0FC3B56-E345-40CD-A5CB-7EB791CE3E74}" = TOSHIBA Passwort-Utility
"InstallShield_{DB780B85-B4B5-4864-A49C-9B706B169C93}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"IPS" = IPS 
"IrfanView" = IrfanView (remove only)
"JAP" = JAP
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)
"Mozilla Thunderbird (3.1.3)" = Mozilla Thunderbird (3.1.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PROSet" = Intel(R) PRO Network Connections Drivers
"RealPlayer 6.0" = RealPlayer
"TDspBtn" = TOSHIBA Utility zum Bildschirmwechsel
"TFNF5" = TOSHIBA Hotkey Utility für Anzeigegeräte
"TME" = Deinstallationsprogamm fur TOSHIBA Mobile Extension3
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"Uninstall_is1" = Uninstall 1.0.0.1
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows CE Services" = Microsoft ActiveSync 3.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"603989baa3ce211a" = Foto Quelle Fotobuch
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 15.08.2010 06:07:49 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung divxupdate.exe, Version 1.0.1.10, fehlgeschlagenes
 Modul msvcp80.dll, Version 8.0.50727.4053, Fehleradresse 0x000100b5.
 
Error - 16.08.2010 12:10:56 | Computer Name = TOSHIBA1 | Source = Google Update | ID = 20
Description = 
 
Error - 16.08.2010 16:39:26 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wrsaver.exe, Version 3.10.0.783, fehlgeschlagenes
 Modul wrsaver.exe, Version 3.10.0.783, Fehleradresse 0x000803c8.
 
Error - 23.08.2010 15:59:10 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung hhc.exe, Version 4.74.8702.0, fehlgeschlagenes
 Modul hha.dll, Version 4.74.8702.0, Fehleradresse 0x0001e6f0.
 
Error - 23.08.2010 15:59:21 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 07105400.
 
Error - 09.09.2010 11:45:39 | Computer Name = TOSHIBA1 | Source = Google Update | ID = 20
Description = 
 
Error - 09.09.2010 14:53:55 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avscan.exe, Version 10.0.3.0, fehlgeschlagenes
 Modul msvcr90.dll, Version 9.0.30729.4148, Fehleradresse 0x0003fb29.
 
Error - 09.09.2010 15:16:24 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung avscan.exe, Version 10.0.3.0, fehlgeschlagenes
 Modul msvcr90.dll, Version 9.0.30729.4148, Fehleradresse 0x0003fb29.
 
Error - 09.09.2010 15:18:26 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 1818328310.
 
Error - 10.09.2010 09:56:49 | Computer Name = TOSHIBA1 | Source = ESENT | ID = 490
Description = svchost (1624) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
[ System Events ]
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Sony Ericsson OMSI download service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Tmesrv3" wurde unerwartet beendet. Dies ist bereits 1 Mal 
passiert.
 
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "User Profile Hive Cleanup" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Festplattenschutz" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Lavasoft Ad-Aware Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 5000 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 09.09.2010 15:15:39 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7024
Description = Der Dienst "SQL Server (MSSMLBIZ)" wurde mit folgendem dienstspezifischem
 Fehler beendet: 17058 (0x42A2).
 
Error - 09.09.2010 15:26:41 | Computer Name = TOSHIBA1 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "McComponentHostService"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {CC6F4D12-8575-4CFF-9455-CF5774AEB13B}
 
Error - 09.09.2010 15:26:41 | Computer Name = TOSHIBA1 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "McComponentHostService"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {CC6F4D12-8575-4CFF-9455-CF5774AEB13B}
 
Error - 09.09.2010 15:34:44 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7024
Description = Der Dienst "SQL Server (MSSMLBIZ)" wurde mit folgendem dienstspezifischem
 Fehler beendet: 17058 (0x42A2).
 
Error - 10.09.2010 09:56:35 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7024
Description = Der Dienst "SQL Server (MSSMLBIZ)" wurde mit folgendem dienstspezifischem
 Fehler beendet: 17058 (0x42A2).
 
 
< End of report >
         
Und noch bootkit
Code:
ATTFilter
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

     Size  Device Name          MBR Status
 --------------------------------------------
   149 GB  \\.\PhysicalDrive0   OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...
         
Gruß, sanne
__________________

Geändert von sanne2010 (10.09.2010 um 17:01 Uhr) Grund: Zusatzprotokoll

Alt 11.09.2010, 13:00   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 127.0.0.1:4001
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 4001
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 4001
FF - prefs.js..network.proxy.type: 0
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66BBBB3E
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.09.2010, 17:29   #5
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Hallo Arne,
danke.
Habe noch mal überlegt. Der zu Beginn benannte Download war m.W. das einzige zu dem Zeitpunkt, zudem von der Adobe Seite. "Nur" Firefox hatte irgendwas geupdatet, ich weiß jedoch nicht mehr was, lief über AddOns.
Der Rechner ist inzwischen sehr langsam bzw.man hört dass die HD arbeitet, aber jeder PrgStart dauert. Nach dem OTL hat das Runterfahren etliche Minuten benötigt. Zudem zeigt WIN nun immer, dass Avira nicht aktuell ist, erst nach MANULLEM Update verschwindet die Meldung; üblicherweise meckerte WIN nicht tgl. und AVIRA updatet allein. Dies nur als Info, falls irgendwo mit ein Zusammenhang bestehen sollte.
Hier der OTL Log (Otl stand noch auf minimal Ausgabe, hoffe, das war okay):
Code:
ATTFilter
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "Yahoo" removed from browser.search.defaultenginename
Prefs.js: "Winload Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "chr-greentree_ff&type=867034" removed from browser.search.param.yahoo-fr
Prefs.js: "Winload Customized Web Search" removed from browser.search.selectedEngine
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 4001 removed from network.proxy.http_port
Prefs.js: "" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.socks_remote_dns
Prefs.js: "127.0.0.1" removed from network.proxy.ssl
Prefs.js: 4001 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66BBBB3E deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Heide
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: time traveler
->Temp folder emptied: 1455167 bytes
->Temporary Internet Files folder emptied: 405663 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 33382679 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33251 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 34,00 mb
 
 
OTL by OldTimer - Version 3.2.11.0 log created on 09112010_171030

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Temp\div5.tmp\div6.tmp moved successfully.
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_98c.dat not found!
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_a1c.dat not found!

Registry entries deleted on Reboot...
         
Danke noch einmal und Gruß, sanne


Alt 11.09.2010, 20:42   #6
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Hallo Arne,
sehe gerade, dass der Papras wohl noch bei AdAware in Quarantäne hängt.
AdAware hatte 2x Papras erkannt, wohl aber nicht wirklich löschen, in Quarantäne schieben können.



Sehe keine Möglichkeit, die Quarantäne zu löschen. Wäre das nicht sicherer?

Danke, Gruß, sanne

P.S.: Sehe gerade, dass in den WIN Ordneroptionen, Anzeige: wieder "Erweit.bei
bekannten Dateiname" aktiviert ist, wie auch "geschützte Systemdateien aus-
blenden". Wird dies ggf. durch eines der genutzten Tools zurück gesetzt -
oder wer/was ist da am Werk???

Geändert von sanne2010 (11.09.2010 um 20:54 Uhr) Grund: Ergänzung

Alt 11.09.2010, 23:30   #7
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Avira meldet gerade
Zitat:
In der Datei 'C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP259\A0100738.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
und
Zitat:
Die Datei 'C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP259\A0100738.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.
Restore??? Die Systemwiederherstellung war immer deaktiviert!
Schaue gerade nach: sie ist aktiviert.
Deaktivieren? Was passiert dann mit dem Fund?

Alt 12.09.2010, 02:40   #8
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Habe die Systemwiederherstellung deaktiviert.
AntiVir hat das Objekt in Quarantäne genommen.

Habe dann noch einmal MBAM laufen lassen, mit diesem Ergebnis:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4595

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.09.2010 02:22:31
mbam-log-2010-09-12 (02-22-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 264669
Laufzeit: 2 Stunde(n), 7 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\phase5\Plugins\Tabellenzerleger.dll (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
         
Habe nicht mit Phase5 gearbeitet oder etwas geändert...

Langsam verstehe ich das nicht mehr. Woher kommen alle diese Objekte
bzw. deren Erkennung nach und nach?

Alt 12.09.2010, 22:01   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.09.2010, 19:50   #10
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



AVIRA Schlüssel Hinweis gerade erst gelesen ;-) mehr später-

Geändert von sanne2010 (13.09.2010 um 19:56 Uhr)

Alt 13.09.2010, 20:54   #11
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Hier 2 Logs von cofi.
Beim ersten Mal war plötzl.keine Webverbindung für den Wiederherstell.konselen-Dwld verfügbar.
Beim 2 erfolgl.Versuch, nach Dwld., gab WIN einen blauen Bildschirm mit einer Treiberfehlermeldung aus zu mbr.sys.
Nach Neustart klappte es dann.

1. log
Code:
ATTFilter
ComboFix 10-09-12.04 - time traveler 13.09.2010  20:06:31.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1397 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\time traveler\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe1.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe5F.dll
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg
C:\install.exe
C:\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-13 bis 2010-09-13  ))))))))))))))))))))))))))))))
.

2010-09-11 17:47 . 2010-09-11 17:47    --------    dc-h--w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-11 17:47 . 2010-08-12 12:16    2979848    -c--a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-11 15:41 . 2010-09-11 15:41    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-09 20:15 . 2010-09-09 20:15    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 20:14 . 2010-09-09 20:14    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-09 20:14 . 2010-09-09 20:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-09 19:06 . 2010-09-09 19:06    --------    d-----w-    C:\_OTL
2010-09-09 16:49 . 2010-09-13 17:26    --------    d-----w-    c:\programme\CCleaner
2010-09-09 16:45 . 2010-09-09 16:45    --------    d-----w-    C:\adobeTemp
2010-09-08 20:36 . 2010-09-08 20:52    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-06 17:30 . 2010-09-06 17:30    144696    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-01 21:28 . 2010-09-13 18:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Akamai
2010-08-15 14:02 . 2010-08-15 14:02    --------    d-----w-    c:\programme\Windows Media Connect 2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 09:32 . 2008-10-14 19:47    --------    d-----w-    c:\programme\phase5
2010-09-12 06:52 . 2009-01-08 22:16    1    ----a-w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 15:09 . 2010-08-08 09:55    456200    ----a-w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-09-09 16:45 . 2007-06-08 13:30    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-09 15:44 . 2008-03-28 16:56    85456    ----a-w-    c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 20:39 . 2007-06-08 13:25    85456    ----a-w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-07 20:29 . 2008-03-29 18:36    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-07 20:20 . 2009-11-23 21:39    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Skype
2010-09-06 17:30 . 2010-07-03 17:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-25 19:56 . 2008-03-29 18:40    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Thunderbird
2010-08-17 19:53 . 2010-06-19 21:03    --------    d-----w-    c:\programme\Free FLV Converter
2010-08-17 19:49 . 2010-03-22 22:47    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\FreeFLVConverter
2010-08-12 19:01 . 2007-06-08 12:48    --------    d-----w-    c:\programme\Apoint2K
2010-08-12 18:49 . 2010-08-12 18:49    0    ---ha-w-    c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-08-12 18:49 . 2010-08-12 18:49    0    ---ha-w-    c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2010-08-12 17:46 . 2007-06-08 11:34    516788    ----a-w-    c:\windows\system32\perfh007.dat
2010-08-12 17:46 . 2007-06-08 11:34    108670    ----a-w-    c:\windows\system32\perfc007.dat
2010-08-12 12:15 . 2010-03-24 17:54    64288    ----a-w-    c:\windows\system32\drivers\Lbd.sys
2010-08-11 21:50 . 2010-03-22 22:47    307200    ----a-w-    c:\windows\system32\TubeFinder.exe
2010-08-06 20:37 . 2010-08-05 19:03    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Web-Recherche
2010-08-05 19:05 . 2010-08-05 19:03    --------    d-----w-    c:\programme\Web-Recherche
2010-07-28 20:11 . 2010-02-25 21:35    --------    d-----w-    c:\programme\DVDVideoSoft
2010-07-09 14:17 . 2010-07-03 17:23    57344    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-09 14:08 . 2010-07-09 14:08    57715    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08    56765    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08    84054    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08    54153    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-09 14:05 . 2010-07-03 17:22    1062184    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-09 14:05 . 2010-07-03 17:22    895256    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-03 17:22 . 2010-07-03 17:22    56997    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    53600    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    57054    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54166    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    57532    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    56458    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54174    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54128    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54644    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    57409    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    54101    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    52963    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    54073    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    56969    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2007-06-08 11:34    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2007-06-08 11:34    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-06-08 11:34    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2007-06-08 11:34    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-19 16:57 . 2010-03-24 19:21    15880    ----a-w-    c:\windows\system32\lsdelete.exe
2010-06-17 20:58 . 2010-04-12 16:30    1824    ----a-w-    c:\windows\pchealth\helpctr\Config\incstore.bin
2010-06-17 14:03 . 2007-06-08 11:34    80384    ----a-w-    c:\windows\system32\iccvid.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-08-26 1779512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 16125440]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-08-11 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2007-12-15 184320]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"TPSODDCtl"="TPSODDCtl.exe" [2007-04-20 102400]
"TPSMain"="TPSMain.exe" [2007-04-20 299008]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 57344]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="c:\programme\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"TFncKy"="TFncKy.exe" [BU]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-09 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-09 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-09 138008]
"TFNF5"="TFNF5.exe" [2006-04-11 622592]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48    40448    ----a-w-    c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 02:54    65536    ----a-w-    c:\windows\system32\TosBtNP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages    REG_MULTI_SZ       scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04    39792    ----a-w-    c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50    1144104    ----a-w-    c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02    208528    ----a-w-    c:\programme\pdf24\pdf24.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50    413696    ----a-w-    c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-06-18 19:55    185896    ----a-w-    c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Macromedia Licensing Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.03.2010 19:54 64288]
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27.04.2007 10:19 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [09.03.2007 15:23 6528]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [08.06.2007 15:11 5888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [08.06.2007 13:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 14:27 135336]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 18:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 17:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 17:33 3456]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [08.06.2007 15:11 118784]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [12.09.2006 02:07 45952]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [12.09.2006 02:07 39440]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [08.06.2007 15:22 35968]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.10.2009 21:25 27632]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [08.06.2007 15:13 435072]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.12.2009 18:06 90112]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [15.09.2008 19:48 26816]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [12.09.2006 02:07 704128]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.01.2010 23:20 135664]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - Lavasoft Kernexplorer
*Deregistered* - uphcleanhlp

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-09-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:06]

2010-09-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-09-08 01:44]

2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]

2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
FF - ProfilePath - c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com\components\nsWebResearch.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1737362206-2507374106-1611427970-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:22,9a,2d,ca,97,46,61,79,0b,a7,a4,bc,86,da,9d,c7,c7,12,f6,51,a5,8d,18,
   8d,7f,80,f8,7e,a0,bc,8b,55,32,46,4f,75,cf,20,14,28,5a,6b,a2,fd,b1,fd,a5,71,\
"??"=hex:5e,ae,8b,39,4d,e9,fe,b6,93,1f,88,d5,46,17,a5,ae
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1292)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\programme\Protector Suite QL\crypto.dll
c:\programme\Protector Suite QL\biokmd.dll
c:\programme\Protector Suite QL\mysafe.dll

- - - - - - - > 'lsass.exe'(1348)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
.
Zeit der Fertigstellung: 2010-09-13  20:13:18
ComboFix-quarantined-files.txt  2010-09-13 18:13

Vor Suchlauf: 20 Verzeichnis(se), 108.981.932.032 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 108.985.135.104 Bytes frei

- - End Of File - - DAF3A551690180CA81956349CB4C01EC
         
2. log
Code:
ATTFilter
ComboFix 10-09-12.04 - time traveler 13.09.2010  20:36:36.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1437 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\time traveler\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-13 bis 2010-09-13  ))))))))))))))))))))))))))))))
.

2010-09-11 17:47 . 2010-09-11 17:47    --------    dc-h--w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-11 17:47 . 2010-08-12 12:16    2979848    -c--a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-11 15:41 . 2010-09-11 15:41    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-09 20:15 . 2010-09-09 20:15    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 20:14 . 2010-09-09 20:14    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-09 20:14 . 2010-09-09 20:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-09 19:06 . 2010-09-09 19:06    --------    d-----w-    C:\_OTL
2010-09-09 16:49 . 2010-09-13 17:26    --------    d-----w-    c:\programme\CCleaner
2010-09-09 16:45 . 2010-09-09 16:45    --------    d-----w-    C:\adobeTemp
2010-09-08 20:36 . 2010-09-08 20:52    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-06 17:30 . 2010-09-06 17:30    144696    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-01 21:28 . 2010-09-13 18:34    --------    d-----w-    c:\programme\Gemeinsame Dateien\Akamai
2010-08-15 14:02 . 2010-08-15 14:02    --------    d-----w-    c:\programme\Windows Media Connect 2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 09:32 . 2008-10-14 19:47    --------    d-----w-    c:\programme\phase5
2010-09-12 06:52 . 2009-01-08 22:16    1    ----a-w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 15:09 . 2010-08-08 09:55    456200    ----a-w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-09-09 16:45 . 2007-06-08 13:30    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-09 15:44 . 2008-03-28 16:56    85456    ----a-w-    c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 20:39 . 2007-06-08 13:25    85456    ----a-w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-07 20:29 . 2008-03-29 18:36    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-07 20:20 . 2009-11-23 21:39    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Skype
2010-09-06 17:30 . 2010-07-03 17:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-25 19:56 . 2008-03-29 18:40    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Thunderbird
2010-08-17 19:53 . 2010-06-19 21:03    --------    d-----w-    c:\programme\Free FLV Converter
2010-08-17 19:49 . 2010-03-22 22:47    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\FreeFLVConverter
2010-08-12 19:01 . 2007-06-08 12:48    --------    d-----w-    c:\programme\Apoint2K
2010-08-12 18:49 . 2010-08-12 18:49    0    ---ha-w-    c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-08-12 18:49 . 2010-08-12 18:49    0    ---ha-w-    c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2010-08-12 17:46 . 2007-06-08 11:34    516788    ----a-w-    c:\windows\system32\perfh007.dat
2010-08-12 17:46 . 2007-06-08 11:34    108670    ----a-w-    c:\windows\system32\perfc007.dat
2010-08-12 12:15 . 2010-03-24 17:54    64288    ----a-w-    c:\windows\system32\drivers\Lbd.sys
2010-08-11 21:50 . 2010-03-22 22:47    307200    ----a-w-    c:\windows\system32\TubeFinder.exe
2010-08-06 20:37 . 2010-08-05 19:03    --------    d-----w-    c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Web-Recherche
2010-08-05 19:05 . 2010-08-05 19:03    --------    d-----w-    c:\programme\Web-Recherche
2010-07-28 20:11 . 2010-02-25 21:35    --------    d-----w-    c:\programme\DVDVideoSoft
2010-07-09 14:17 . 2010-07-03 17:23    57344    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-09 14:08 . 2010-07-09 14:08    57715    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08    56765    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08    84054    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08    54153    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-09 14:05 . 2010-07-03 17:22    1062184    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-09 14:05 . 2010-07-03 17:22    895256    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-03 17:22 . 2010-07-03 17:22    56997    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    53600    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    57054    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54166    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    57532    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    56458    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54174    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54128    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22    54644    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    57409    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    54101    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    52963    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    54073    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21    56969    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2007-06-08 11:34    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2007-06-08 11:34    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-06-08 11:34    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2007-06-08 11:34    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-19 16:57 . 2010-03-24 19:21    15880    ----a-w-    c:\windows\system32\lsdelete.exe
2010-06-17 20:58 . 2010-04-12 16:30    1824    ----a-w-    c:\windows\pchealth\helpctr\Config\incstore.bin
2010-06-17 14:03 . 2007-06-08 11:34    80384    ----a-w-    c:\windows\system32\iccvid.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-09-13_18.11.23   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-13 18:33 . 2010-09-13 18:33    16384              c:\windows\Temp\Perflib_Perfdata_9f8.dat
+ 2010-09-13 18:33 . 2010-09-13 18:33    16384              c:\windows\Temp\Perflib_Perfdata_968.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 16125440]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-08-11 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2007-12-15 184320]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"TPSODDCtl"="TPSODDCtl.exe" [2007-04-20 102400]
"TPSMain"="TPSMain.exe" [2007-04-20 299008]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 57344]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="c:\programme\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"TFncKy"="TFncKy.exe" [BU]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-09 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-09 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-09 138008]
"TFNF5"="TFNF5.exe" [2006-04-11 622592]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48    40448    ----a-w-    c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 02:54    65536    ----a-w-    c:\windows\system32\TosBtNP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages    REG_MULTI_SZ       scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04    39792    ----a-w-    c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50    1144104    ----a-w-    c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02    208528    ----a-w-    c:\programme\pdf24\pdf24.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50    413696    ----a-w-    c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-06-18 19:55    185896    ----a-w-    c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Macromedia Licensing Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.03.2010 19:54 64288]
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27.04.2007 10:19 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [09.03.2007 15:23 6528]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [08.06.2007 15:11 5888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [08.06.2007 13:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 14:27 135336]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 18:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 17:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 17:33 3456]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [08.06.2007 15:11 118784]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [12.09.2006 02:07 45952]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [12.09.2006 02:07 39440]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [08.06.2007 15:22 35968]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.10.2009 21:25 27632]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [08.06.2007 15:13 435072]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.12.2009 18:06 90112]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [15.09.2008 19:48 26816]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [12.09.2006 02:07 704128]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.01.2010 23:20 135664]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - uphcleanhlp

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-09-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:06]

2010-09-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-09-08 01:44]

2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]

2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
FF - ProfilePath - c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com\components\nsWebResearch.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1737362206-2507374106-1611427970-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:22,9a,2d,ca,97,46,61,79,0b,a7,a4,bc,86,da,9d,c7,c7,12,f6,51,a5,8d,18,
   8d,7f,80,f8,7e,a0,bc,8b,55,32,46,4f,75,cf,20,14,28,5a,6b,a2,fd,b1,fd,a5,71,\
"??"=hex:5e,ae,8b,39,4d,e9,fe,b6,93,1f,88,d5,46,17,a5,ae
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1284)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\programme\Protector Suite QL\crypto.dll
c:\programme\Protector Suite QL\biokmd.dll
c:\programme\Protector Suite QL\mysafe.dll

- - - - - - - > 'lsass.exe'(1352)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll

- - - - - - - > 'explorer.exe'(3940)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
Zeit der Fertigstellung: 2010-09-13  20:44:43
ComboFix-quarantined-files.txt  2010-09-13 18:44
ComboFix2.txt  2010-09-13 18:13

Vor Suchlauf: 21 Verzeichnis(se), 106.837.626.880 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 106.824.560.640 Bytes frei

- - End Of File - - 75621D830B9245F9C6B1DCEC357CF8AA
         
Wie schaut es aus????

MERCI! Gruß, sanne

Alt 13.09.2010, 22:13   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Wieso hast Du cofi.exe 2x ausgeführt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.09.2010, 22:58   #13
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Weil beim ersten Mal benannte Internetverbindung weg war und cofi versuchte die Konsole downzuloaden.
Falsch ? Uii, wenn Du schon so fragst ... . Und nun?

Alt 13.09.2010, 23:02   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Nein ist schon ok. hast ja Glück gehabt. Nur mit CF solltest Du vorsichtig sein

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2010, 00:02   #15
sanne2010
 
Win32.Backdoor.Papras/A - Standard

Win32.Backdoor.Papras/A



Puh, okay, DANKE.
Führe Deine benannten weiteren Schritte morgen aus. Gute Nacht.

Antwort

Themen zu Win32.Backdoor.Papras/A
antivir, avira, awareness, c:\windows\system32\services.exe, cpu, desktop, dubioses, ebanking, einstellungen, festplatte, firefox, firefox.exe, google, home, jusched.exe, launch, logfile, m.exe, mozilla, neustart, oldtimer, papras, photoshop, required, scan, sched.exe, security, security scan, services.exe, software, svchost.exe, system, system 32, trojaner, updates, windows xp, wuauclt.exe



Ähnliche Themen: Win32.Backdoor.Papras/A


  1. TR/Gendal.KD.371036 und Backdoor.Papras in Quarantäne - gefährlich oder gebannt?
    Mülltonne - 05.10.2011 (2)
  2. Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 08.02.2011 (13)
  3. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  4. win32.backdoor.papras a lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (7)
  5. ComboFix nach Win32.Backdoor.Papras/A
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (11)
  6. Win32.Backdoor.Papras/A / TR/Spy.Browse.A (Trojan) führt zu Grafikkartenproblemen?
    Log-Analyse und Auswertung - 07.10.2010 (38)
  7. BDS/Papras.PR Eingefangen (Backdoor)
    Plagegeister aller Art und deren Bekämpfung - 25.09.2010 (1)
  8. BDS/Papras.PK [backdoor] in C:\WINDOWS\system32\lprdump.dll
    Plagegeister aller Art und deren Bekämpfung - 14.09.2010 (11)
  9. Win32.Backdoor\Papras/A
    Plagegeister aller Art und deren Bekämpfung - 03.08.2010 (6)
  10. Anti Malware Doctor & Win32.Backdoor.Papras/A eingefangen / Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (16)
  11. Trojaner win32.backdoor.papras/a
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (31)
  12. AVira : 'BDS/Papras.JX' [backdoor] in C:\Windows\System32\makeasrv.dll'
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (24)
  13. BDS/Papras.JF [backdoor]' detected in file 'C:\WINDOWS\mobsstrt.dll.
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (12)
  14. BDS/Papras.JF [backdoor]
    Plagegeister aller Art und deren Bekämpfung - 30.06.2010 (3)
  15. Backdoor.Win32.Papras.HE
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (11)
  16. BDS/Papras.JF [backdoor]' detected
    Plagegeister aller Art und deren Bekämpfung - 22.06.2010 (2)
  17. Backdoor BDS/Papras.GX - Entfernung nicht möglich
    Log-Analyse und Auswertung - 11.06.2010 (1)

Zum Thema Win32.Backdoor.Papras/A - Hallo, die Google Suche hat mich hierher geführt und ich habe bereits die Threads zu dem o.g. Trojaner gelesen. Da ich zuvor selbst aktiv war, weiß ich nicht, wie ich - Win32.Backdoor.Papras/A...
Archiv
Du betrachtest: Win32.Backdoor.Papras/A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.