| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Backdoor.Papras/AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.09.2010, 20:49
| #1 |
 |  Win32.Backdoor.Papras/A Hallo, die Google Suche hat mich hierher geführt und ich habe bereits die Threads zu dem o.g. Trojaner gelesen. Da ich zuvor selbst aktiv war, weiß ich nicht, wie ich prüfend weiter machen sollte. Hatte zuvor mit Trendmicro Housecall gearbeitet und dann schon OTL ausgeführt; scheinbar hatte Trendmicro den Papras nicht entfernt. Gestern abend habe ich mir auf der Adobe-Site eine Testversion von Photoshop geladen und genau zu diesem Zeitpunkt ist die Datei igfxipv6.dll im Windows-Ordner System 32 erstellt worden. Weder die WinFirewall, noch Antivir oder AdAware haben gestern etwas angezeigt. Erst heute beim OnlineBanking erschien ein mir sehr dubioses TAN-AbfrageFeld, das sich zudem austricksen lies. Danach meldete AdAware den Win32.Backdoor.Papras/A. Gut, dass meine Bank nicht mehr mit TANs arbeitet. Die Meldung von AdAware: Code:
ATTFilter Logfile created: 09.09.2010 17:48:27
Ad-Aware version: 8.2.6
User performing scan: time traveler
*********************** Definitions database information ***********************
Lavasoft definition file: 149.391
Genotype definition file version: 2010/08/31 14:13:17
******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 103049
Objects detected: 1
Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0
Quarantined items:
Description: c:\windows\system32\igfxipv6.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Scan and cleaning complete: Finished correctly after 784 seconds
*********************************** Settings ***********************************
Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: folderstoscan, enabled:1, value:
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true
Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav
Scheduled scan settings:
<Empty>
Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Wed Mar 24 18:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Wed Mar 24 00:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Wed Mar 24 06:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Wed Mar 24 12:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Wed Mar 24 18:54:00 2010
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: true
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: true
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: true
ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language
Realtime protection settings:
ID: realtime, enabled:1
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: modules, enabled:1
ID: processprotection, enabled:1, value: true
ID: onaccessprotection, enabled:1, value: true
ID: registryprotection, enabled:1, value: true
ID: networkprotection, enabled:1, value: true
****************************** System information ******************************
Computer name: TOSHIBA1
Processor name: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
Processor identifier: x86 Family 6 Model 15 Stepping 13
Processor speed: ~1596MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 3853, number of processors 2, processor features: [MMX,SSE,SSE2]
Physical memory available: 1454063616 bytes
Physical memory total: 2137747456 bytes
Virtual memory available: 2004922368 bytes
Virtual memory total: 2147352576 bytes
Memory load: 31%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:
Running processes:
PID: 780 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1092 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1160 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1172 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1380 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1424 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1464 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1608 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1824 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1860 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1956 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2004 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2040 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 264 name: C:\WINDOWS\system32\agrsmsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 288 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 304 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 324 name: C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 380 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 652 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 672 name: C:\WINDOWS\system32\HPZipm12.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 792 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 924 name: C:\WINDOWS\system32\ThpSrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 936 name: C:\Programme\TOSHIBA\TME3\Tmesrv31.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1004 name: C:\WINDOWS\system32\TODDSrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1088 name: C:\Programme\UPHClean\uphclean.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1552 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1652 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2056 name: C:\WINDOWS\system32\wbem\wmiapsrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2072 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2092 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2100 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2580 name: C:\WINDOWS\system32\wscntfy.exe owner: time traveler domain: TOSHIBA1
PID: 2712 name: C:\Programme\Google\Update\GoogleUpdate.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2792 name: C:\WINDOWS\Explorer.EXE owner: time traveler domain: TOSHIBA1
PID: 3036 name: C:\WINDOWS\RTHDCPL.EXE owner: time traveler domain: TOSHIBA1
PID: 3100 name: C:\WINDOWS\system32\00THotkey.exe owner: time traveler domain: TOSHIBA1
PID: 3160 name: C:\Programme\Apoint2K\Apoint.exe owner: time traveler domain: TOSHIBA1
PID: 3312 name: C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe owner: time traveler domain: TOSHIBA1
PID: 3468 name: C:\WINDOWS\system32\TPSBattM.exe owner: time traveler domain: TOSHIBA1
PID: 3476 name: C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE owner: time traveler domain: TOSHIBA1
PID: 3512 name: C:\Programme\Apoint2K\HidFind.exe owner: time traveler domain: TOSHIBA1
PID: 3588 name: C:\Programme\Apoint2K\Apntex.exe owner: time traveler domain: TOSHIBA1
PID: 3692 name: C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe owner: time traveler domain: TOSHIBA1
PID: 3808 name: C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe owner: time traveler domain: TOSHIBA1
PID: 3860 name: C:\Programme\TOSHIBA\TME3\TMEEJME.EXE owner: time traveler domain: TOSHIBA1
PID: 3868 name: C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe owner: time traveler domain: TOSHIBA1
PID: 3896 name: C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe owner: time traveler domain: TOSHIBA1
PID: 4004 name: C:\Programme\Protector Suite QL\psqltray.exe owner: time traveler domain: TOSHIBA1
PID: 364 name: C:\WINDOWS\system32\thpsrv.exe owner: time traveler domain: TOSHIBA1
PID: 764 name: C:\WINDOWS\system32\hkcmd.exe owner: time traveler domain: TOSHIBA1
PID: 1320 name: C:\WINDOWS\system32\igfxpers.exe owner: time traveler domain: TOSHIBA1
PID: 424 name: C:\WINDOWS\system32\TFNF5.exe owner: time traveler domain: TOSHIBA1
PID: 296 name: C:\WINDOWS\system32\igfxsrvc.exe owner: time traveler domain: TOSHIBA1
PID: 2516 name: C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe owner: time traveler domain: TOSHIBA1
PID: 2196 name: C:\WINDOWS\vsnpstd3.exe owner: time traveler domain: TOSHIBA1
PID: 2540 name: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe owner: time traveler domain: TOSHIBA1
PID: 2556 name: C:\Programme\pdf24\pdf24.exe owner: time traveler domain: TOSHIBA1
PID: 2984 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: time traveler domain: TOSHIBA1
PID: 2896 name: C:\WINDOWS\system32\igfxext.exe owner: time traveler domain: TOSHIBA1
PID: 2676 name: C:\Programme\DivX\DivX Update\DivXUpdate.exe owner: time traveler domain: TOSHIBA1
PID: 2388 name: C:\WINDOWS\system32\ctfmon.exe owner: time traveler domain: TOSHIBA1
PID: 3104 name: C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe owner: time traveler domain: TOSHIBA1
PID: 3084 name: C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE owner: time traveler domain: TOSHIBA1
PID: 3136 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe owner: time traveler domain: TOSHIBA1
PID: 3684 name: C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe owner: time traveler domain: TOSHIBA1
PID: 1224 name: C:\Programme\Mozilla Firefox\firefox.exe owner: time traveler domain: TOSHIBA1
PID: 1508 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: time traveler domain: TOSHIBA1
PID: 5748 name: C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: time traveler domain: TOSHIBA1
Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: WPDShServiceObj
imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
Name: RTHDCPL
imagepath: RTHDCPL.EXE
Name: Alcmtr
imagepath: ALCMTR.EXE
Name: 00THotkey
imagepath: C:\WINDOWS\system32\00THotkey.exe
Name: 000StTHK
imagepath: 000StTHK.exe
Name: Apoint
imagepath: C:\Programme\Apoint2K\Apoint.exe
Name: SmoothView
imagepath: C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
Name: TPSODDCtl
imagepath: TPSODDCtl.exe
Name: TPSMain
imagepath: TPSMain.exe
Name: TMERzCtl.EXE
imagepath: C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
Name: TMESRV.EXE
imagepath: C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
Name: TOSDCR
imagepath: TOSDCR.EXE
Name: TosHKCW.exe
imagepath: "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
Name: TAudEffect
imagepath: C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe /run
Name: TFncKy
imagepath: TFncKy.exe
Name: DDWMon
imagepath: C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
Name: PSQLLauncher
imagepath: "C:\Programme\Protector Suite QL\launcher.exe" /startup
Name: topi
imagepath: C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
Name: ThpSrv
imagepath: C:\WINDOWS\system32\thpsrv /logon
Name: IgfxTray
imagepath: C:\WINDOWS\system32\igfxtray.exe
Name: HotKeysCmds
imagepath: C:\WINDOWS\system32\hkcmd.exe
Name: Persistence
imagepath: C:\WINDOWS\system32\igfxpers.exe
Name: TFNF5
imagepath: TFNF5.exe
Name: DpUtil
imagepath: C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
Name: snpstd3
imagepath: C:\WINDOWS\vsnpstd3.exe
Name: TkBellExe
imagepath: "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Name: PDFPrint
imagepath: C:\Programme\pdf24\pdf24.exe
Name: avgnt
imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Name: SunJavaUpdateSched
imagepath: "C:\Programme\Java\jre6\bin\jusched.exe"
Name: DivXUpdate
imagepath: "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
Name: AdobeAAMUpdater-1.0
imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
Name: SwitchBoard
imagepath: C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe
Name: AdobeCS5ServiceManager
imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
Name: CTFMON.EXE
imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
imagepath: C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete
Running services:
Name: AgereModemAudio
displayname: Agere Modem Call Progress Audio
Name: Akamai
displayname: Akamai NetSession Interface
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Browser
displayname: Computerbrowser
Name: CFSvcs
displayname: ConfigFree Service
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: ERSvc
displayname: Fehlerberichterstattungsdienst
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: helpsvc
displayname: Hilfe und Support
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: OMSI download service
displayname: Sony Ericsson OMSI download service
Name: PlugPlay
displayname: Plug & Play
Name: Pml Driver HPZ12
displayname: Pml Driver HPZ12
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RemoteRegistry
displayname: Remote-Registrierung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: Thpsrv
displayname: TOSHIBA Festplattenschutz
Name: Tmesrv
displayname: Tmesrv3
Name: TODDSrv
displayname: TOSHIBA Optical Disc Drive Service
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UPHClean
displayname: User Profile Hive Cleanup
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: WmiApSrv
displayname: WMI-Leistungsadapter
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung
Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\drmustat not found.
File C:\WINDOWS\system32\evenrcp.dll not found.
========== FILES ==========
File\Folder C:\WINDOWS\system32\evenrcp.dll not found.
========== COMMANDS ==========
[EMPTYFLASH]
User: Administrator
User: All Users
User: Default User
->Flash cache emptied: 0 bytes
User: Heide
->Flash cache emptied: 689 bytes
User: LocalService
User: NetworkService
User: time traveler
->Flash cache emptied: 1934280 bytes
Total Flash Files Cleaned = 2,00 mb
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 43170 bytes
->Flash cache emptied: 0 bytes
User: Heide
->Temp folder emptied: 604876 bytes
->Temporary Internet Files folder emptied: 34542 bytes
->FireFox cache emptied: 34178419 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 376424 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: time traveler
->Temp folder emptied: 726121164 bytes
->Temporary Internet Files folder emptied: 1660281 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 22145407 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2676103 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 205264837 bytes
RecycleBin emptied: 1278697 bytes
Total Files Cleaned = 948,00 mb
OTL by OldTimer - Version 3.2.11.0 log created on 09092010_210646
Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_120.dat not found!
Registry entries deleted on Reboot...
Vielen Danke, Sanne P.S.: Mit dem CCleaner hatte ich zuvor auch gearbeitet. P.P.S.: Ein Screenshot der Fake-Tan-Abfrage  Geändert von sanne2010 (09.09.2010 um 21:03 Uhr) Grund: Ergänzung |
|
09.09.2010, 21:05
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Win32.Backdoor.Papras/AZitat:
 Ich hab nämlich jetzt schon den Hinweis von einem anderen Opfer gekommen, dass er den Papras bekam, als er über den Firefox seinen Flashplayer aktualisieren ließ. Hat Adobe da geschlampt? Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
10.09.2010, 15:12
| #3 |
| | Win32.Backdoor.Papras/A Danke Arne!
__________________Hier die Logs (noch 2 Trojaner gefunden ):Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4584
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
10.09.2010 00:55:18
mbam-log-2010-09-10 (00-55-18).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 267812
Laufzeit: 2 Stunde(n), 33 Minute(n), 49 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\time traveler\x.exe (Trojan.KillAV) -> Quarantined and deleted successfully.
Code:
ATTFilter OTL logfile created on: 10.09.2010 16:01:29 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,05 Gb Total Space | 93,28 Gb Free Space | 62,58% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 3,69 Gb Total Space | 0,91 Gb Free Space | 24,81% Space Free | Partition Type: FAT32 F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: TOSHIBA1 Current User Name: time traveler Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft) PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe (Sony Ericsson Mobile Communications AB) PRC - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe () PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\ThpSrv.exe (TOSHIBA Corporation) PRC - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) PRC - C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\DDWMon.exe (TOSHIBA Corporation) PRC - C:\WINDOWS\system32\TPSBattM.exe (TOSHIBA Corporation) PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation) PRC - C:\WINDOWS\system32\agrsmsvc.exe (Agere Systems) PRC - C:\WINDOWS\vsnpstd3.exe () PRC - C:\Programme\Apoint2K\hidfind.exe (Alps Electric Co., Ltd.) PRC - C:\Programme\TOSHIBA\TME3\TMERzCtl.exe (TOSHIBA) PRC - C:\WINDOWS\system32\00THotkey.exe (TOSHIBA Corporation) PRC - C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe (TOSHIBA) PRC - C:\WINDOWS\system32\TODDSrv.exe (TOSHIBA Corporation) PRC - C:\Programme\Protector Suite QL\psqltray.exe (UPEK Inc.) PRC - C:\WINDOWS\system32\TFNF5.exe (TOSHIBA Corp.) PRC - C:\WINDOWS\system32\HPZipm12.exe (HP) PRC - C:\Programme\TOSHIBA\TME3\TMESRV31.exe (TOSHIBA) PRC - C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe (TOSHIBA Corporation) PRC - C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe (TOSHIBA) PRC - C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe (TOSHIBA CORPORATION) PRC - C:\Programme\UPHClean\uphclean.exe (Microsoft Corporation) PRC - C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (TOSHIBA) PRC - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION) PRC - C:\Programme\TOSHIBA\TME3\TMEEJME.exe (TOSHIBA) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (Akamai) -- C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll () SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (SwitchBoard) -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated) SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.) SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe (Macromedia) SRV - (OMSI download service) -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe () SRV - (Thpsrv) -- C:\WINDOWS\system32\ThpSrv.exe (TOSHIBA Corporation) SRV - (TOSHIBA Bluetooth Service) -- c:\Programme\TOSHIBA\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION) SRV - (AgereModemAudio) -- C:\WINDOWS\system32\agrsmsvc.exe (Agere Systems) SRV - (TODDSrv) -- C:\WINDOWS\system32\TODDSrv.exe (TOSHIBA Corporation) SRV - (MSSQL$MSSMLBIZ) SQL Server (MSSMLBIZ) -- c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation) SRV - (SQLBrowser) -- c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation) SRV - (SQLWriter) -- c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation) SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP) SRV - (Tmesrv) -- C:\Programme\TOSHIBA\TME3\Tmesrv31.exe (TOSHIBA) SRV - (MSSQLServerADHelper) -- c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation) SRV - (UPHClean) -- C:\Programme\UPHClean\uphclean.exe (Microsoft Corporation) SRV - (CFSvcs) -- C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (TSMPacket) -- C:\WINDOWS\System32\DRIVERS\tsmpkt.sys File not found DRV - (HECI) Intel(R) -- C:\WINDOWS\System32\DRIVERS\HECI.sys File not found DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.) DRV - (seehcri) -- C:\WINDOWS\system32\drivers\seehcri.sys (Sony Ericsson Mobile Communications) DRV - (dsltestSp5) -- C:\WINDOWS\system32\drivers\DslTestSp5.sys (Printing Communications Assoc., Inc. (PCAUSA)) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation) DRV - (Thpdrv) -- C:\WINDOWS\system32\DRIVERS\thpdrv.sys (TOSHIBA Corporation) DRV - (tosrfusb) -- C:\WINDOWS\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION) DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation) DRV - (SNPSTD3) USB PC Camera (SNPSTD3) -- C:\WINDOWS\system32\drivers\snpstd3.sys (Sonix Co. Ltd.) DRV - (tdudf) -- C:\WINDOWS\system32\drivers\tdudf.sys (TOSHIBA Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (Thpevm) -- C:\WINDOWS\system32\DRIVERS\Thpevm.SYS (TOSHIBA Corporation) DRV - (Tosrfhid) -- C:\WINDOWS\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.) DRV - (tosrfbd) -- C:\WINDOWS\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION) DRV - (TEchoCan) -- C:\WINDOWS\system32\drivers\TEchoCan.sys (TOSHIBA Corporation) DRV - (trudf) -- C:\WINDOWS\system32\drivers\trudf.sys (TOSHIBA Corporation) DRV - (TVALZ) -- C:\WINDOWS\system32\DRIVERS\TVALZ.SYS (TOSHIBA Corporation) DRV - (iaStor) -- C:\WINDOWS\system32\drivers\iaStor.sys (Intel Corporation) DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation) DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments) DRV - (TosRfSnd) -- C:\WINDOWS\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation) DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems) DRV - (tosrfbnp) -- C:\WINDOWS\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation) DRV - (tosrfec) -- C:\WINDOWS\system32\drivers\tosrfec.sys (TOSHIBA Corporation) DRV - (tdcmdpst) -- C:\WINDOWS\system32\drivers\tdcmdpst.sys (TOSHIBA Corporation.) DRV - (tosporte) -- C:\WINDOWS\system32\drivers\tosporte.sys (TOSHIBA Corporation) DRV - (FDLUBASE) AVM FRITZ!Card DSL SL USB (WinXP/2000) -- C:\WINDOWS\system32\drivers\fdlubase.sys (AVM Berlin) DRV - (AVMDSLPPPOE) -- C:\WINDOWS\system32\drivers\avmdsloe.sys (AVM GmbH) DRV - (AVMNDSL) -- C:\WINDOWS\system32\drivers\avmndsl.sys (AVM GmbH) DRV - (FdRedir) -- C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys (UPEK Inc.) DRV - (FileDisk2) -- C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys (UPEK Inc.) DRV - (TcUsb) -- C:\WINDOWS\system32\drivers\tcusb.sys (UPEK Inc.) DRV - (smihlp) -- C:\Programme\Protector Suite QL\smihlp.sys (UPEK Inc.) DRV - (Tosrfcom) -- C:\WINDOWS\system32\drivers\tosrfcom.sys (TOSHIBA Corporation) DRV - (IFXTPM) -- C:\WINDOWS\system32\drivers\ifxtpm.sys (Infineon Technologies AG) DRV - (tosrfnds) -- C:\WINDOWS\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.) DRV - (TMEI3E) -- C:\WINDOWS\system32\drivers\TMEI3E.sys (Toshiba Corporation) DRV - (Netdevio) -- C:\WINDOWS\system32\drivers\Netdevio.sys (TOSHIBA Corporation.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 127.0.0.1:4001 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034" FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search" FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.search.update: false FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21 FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.1 FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5 FF - prefs.js..extensions.enabledItems: en-US@dictionaries.addons.mozilla.org:4.0.0 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: webresearch@macropool.com:1.07 FF - prefs.js..extensions.enabledItems: optout@google.com:1.2 FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 4001 FF - prefs.js..network.proxy.no_proxies_on: "" FF - prefs.js..network.proxy.socks_remote_dns: true FF - prefs.js..network.proxy.ssl: "127.0.0.1" FF - prefs.js..network.proxy.ssl_port: 4001 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.09 18:38:45 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.09 18:26:28 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.07 22:28:54 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.02.21 16:57:31 | 000,000,000 | ---D | M] [2010.08.25 21:56:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Extensions [2010.08.25 21:56:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.09.09 20:11:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions [2010.04.27 22:36:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.04.27 22:36:27 | 000,000,000 | ---D | M] (Torbutton) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca} [2010.02.23 19:48:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\de-DE@dictionaries.addons.mozilla.org [2010.02.23 19:48:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\en-US@dictionaries.addons.mozilla.org [2009.11.08 18:28:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\OberonGameHost@OberonGames.com [2010.08.08 23:13:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\optout@google.com [2008.04.16 20:58:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\Thinger@blueprintit.co.uk [2010.08.05 20:53:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com [2010.04.13 20:24:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions [2009.04.16 01:05:11 | 000,000,000 | ---D | M] (CS Lite) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{00084897-021a-4361-8423-083407a033e0} [2010.04.13 20:24:29 | 000,000,000 | ---D | M] (Image Zoom) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68} [2009.07.07 19:39:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.04.13 20:24:28 | 000,000,000 | ---D | M] (Groowe Search Toolbar) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{268ad77e-cff8-42d7-b479-da60a7b93305} [2008.12.31 01:33:40 | 000,000,000 | ---D | M] (Forecastbar Enhanced) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{3CE993BF-A3D9-4fd2-B3B6-768CBBC337F8} [2008.12.31 01:33:38 | 000,000,000 | ---D | M] (JonDoFox) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{437be45a-4114-11dd-b9ab-71d256d89593} [2010.04.13 20:24:29 | 000,000,000 | ---D | M] (ChatZilla) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2009.04.16 01:05:11 | 000,000,000 | ---D | M] (Dr.Web anti-virus link checker) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{6614d11d-d21d-b211-ae23-815234e1ebb5} [2008.12.31 01:33:39 | 000,000,000 | ---D | M] (SafeCache) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{670a77c5-010e-4476-a8ce-d09171318839} [2008.12.31 01:33:40 | 000,000,000 | ---D | M] (Copy Plain Text) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{723AAF16-AF1F-4404-A5D7-0BFE39766605} [2010.04.13 20:24:29 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2009.01.07 23:19:09 | 000,000,000 | ---D | M] (TabRenamizer) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{792BDDFE-2E7C-42ed-B18D-18154D2761BD} [2008.12.31 01:33:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{89736E8E-4B14-4042-8C75-AD00B6BD3900} [2009.04.16 01:05:11 | 000,000,000 | ---D | M] (MR Tech Toolkit) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{9669CC8F-B388-42FE-86F4-CB5E7F5A8BDC} [2008.12.31 01:33:40 | 000,000,000 | ---D | M] (CacheIt!) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{98449521-9320-4257-aa35-9e1a39c8cbe0} [2008.12.31 01:33:43 | 000,000,000 | ---D | M] (Sage) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{a6ca9b3b-5e52-4f47-85d8-cca35bb57596} [2008.12.31 01:33:40 | 000,000,000 | ---D | M] (Calculator) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{AA052FD6-366A-4771-A591-0D8DC551585D} [2008.12.31 01:33:39 | 000,000,000 | ---D | M] (Temporary Inbox) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{ac1e10b8-206d-4746-a18e-0483852dc20b} [2009.01.07 23:18:54 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2008.12.31 01:33:43 | 000,000,000 | ---D | M] (Plain Text to Link) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{C90B0826-5A17-4970-A5BF-A43D22452E21} [2008.12.31 01:33:38 | 000,000,000 | ---D | M] (Media Pirate - The video downloader) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{cc265d3d-3f6f-0170-a78b-bbbaef7a868c} [2008.12.31 01:33:43 | 000,000,000 | ---D | M] (JSView) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{cf15270e-cf08-4def-b4ea-6a5ac23f3bca} [2009.01.07 23:18:54 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2009.01.07 23:19:05 | 000,000,000 | ---D | M] (FoxClocks) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d37dc5d0-431d-44e5-8c91-49419370caa1} [2008.12.31 01:33:39 | 000,000,000 | ---D | M] (Menu Editor) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{EDA7B1D7-F793-4e03-B074-E6F303317FB0} [2009.04.16 01:05:12 | 000,000,000 | ---D | M] (ScribeFire) -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{F807FACD-E46A-4793-B345-D58CB177673C} [2010.04.13 20:24:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\abhere2@moztw.org [2008.12.31 01:33:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\beysim@beysim.net [2008.12.31 01:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\elemhidehelper@adblockplus.org [2010.03.24 16:13:02 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\searchplugins\conduit.xml [2010.09.09 18:36:23 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.21 00:08:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE} [2010.03.21 15:52:44 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.21 15:52:44 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.21 15:52:44 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.21 15:52:44 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.21 15:52:44 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Web-Recherche-Browserhilfsobjekt) - {255215E2-87DC-4819-8724-D0B4C94DBEF5} - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O3 - HKLM\..\Toolbar: (Web-Recherche-Bearbeitungsleiste) - {5338DF6C-3B3B-4E38-8B31-7B99986627B2} - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O3 - HKLM\..\Toolbar: (Web-Recherche-Symbolleiste) - {8F0F47B1-7D4B-4834-A981-91E2A3DCE069} - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [000StTHK] C:\WINDOWS\System32\000StTHK.exe () O4 - HKLM..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DDWMon] C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe () O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe (TOSHIBA) O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) O4 - HKLM..\Run: [PSQLLauncher] C:\Programme\Protector Suite QL\launcher.exe (UPEK Inc.) O4 - HKLM..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe () O4 - HKLM..\Run: [TAudEffect] C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe (TOSHIBA) O4 - HKLM..\Run: [TFncKy] File not found O4 - HKLM..\Run: [TFNF5] C:\WINDOWS\System32\TFNF5.exe (TOSHIBA Corp.) O4 - HKLM..\Run: [ThpSrv] C:\WINDOWS\System32\thpsrv.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE (TOSHIBA) O4 - HKLM..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE (TOSHIBA) O4 - HKLM..\Run: [topi] C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA) O4 - HKLM..\Run: [TOSDCR] C:\WINDOWS\System32\TOSDCR.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [TosHKCW.exe] C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe (TOSHIBA CORPORATION) O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [TPSODDCtl] C:\WINDOWS\System32\TPSODDCtl.exe (TOSHIBA Corporation) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE (Microsoft Corporation) O4 - HKCU..\Run: [Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe (Sony Ericsson Mobile Communications AB) O4 - HKCU..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (TOSHIBA) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: &Citavi Picker... - C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html () O8 - Extra context menu item: Web-Recherche: Bild speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Bild speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Link-Adresse speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Markierte Ziele speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Markierung speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Markierung speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Ziel speichern - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O8 - Extra context menu item: Web-Recherche: Ziel speichern unter... - C:\Programme\Web-Recherche\WRShell.dll (macropool GmbH) O9 - Extra Button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O15 - HKCU\..Trusted Domains: internet ([]about in Internet) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab (Symantec AntiVirus scanner) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206727877218 (WUWebControl Class) O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mctp {d7b95390-b1c5-11d0-b111-0080c712fe82} - C:\Programme\Microsoft ActiveSync\aatp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.) O20 - Winlogon\Notify\TosBtNP: DllName - TosBtNP.dll - C:\WINDOWS\System32\TosBtNP.dll (TOSHIBA CORPORATION) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.06.08 13:43:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: clipsrvc - (C:\WINDOWS\system32\igfxipv6.dll) - C:\WINDOWS\System32\igfxipv6.dll File not found O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.10 15:55:55 | 000,000,000 | R-SD | C] -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\Safe [2010.09.09 22:15:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\time traveler\Anwendungsdaten\Malwarebytes [2010.09.09 22:14:47 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.09 22:14:45 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.09 22:14:45 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.09 22:14:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.09 21:06:46 | 000,000,000 | ---D | C] -- C:\_OTL [2010.09.09 19:07:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\time traveler\Recent [2010.09.09 18:49:05 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.09.09 18:45:13 | 000,000,000 | ---D | C] -- C:\adobeTemp [2010.09.08 22:36:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe [2010.09.01 23:28:36 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Akamai [2010.08.23 21:32:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\web-rechex1 [2010.08.15 16:02:30 | 000,016,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll [2010.08.15 16:02:09 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2 [2010.08.12 20:48:09 | 001,419,232 | R--- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WdfCoinstaller01005.dll [2010.08.12 00:06:44 | 000,000,000 | ---D | C] -- C:\divx [2009.12.11 18:06:57 | 000,148,736 | ---- | C] (Avanquest Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpe1.dll [2009.10.06 21:25:25 | 000,148,736 | ---- | C] (Avanquest Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpe5F.dll [2007.03.12 11:41:52 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\vsnpstd3.dll [2005.11.23 12:55:32 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd3.dll ========== Files - Modified Within 30 Days ========== [2010.09.10 15:59:41 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.09.10 15:56:46 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.10 15:55:49 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.09.10 15:55:37 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.10 15:55:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.10 15:55:31 | 2137,821,184 | -HS- | M] () -- C:\hiberfil.sys [2010.09.10 00:56:12 | 007,864,320 | -H-- | M] () -- C:\Dokumente und Einstellungen\time traveler\NTUSER.DAT [2010.09.10 00:56:12 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\time traveler\ntuser.ini [2010.09.10 00:35:00 | 000,001,102 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.09.09 21:59:23 | 000,030,901 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\backdoor.jpg [2010.09.09 19:42:09 | 000,327,282 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg [2010.09.09 17:56:43 | 000,238,648 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Grafik1.cdr [2010.09.09 17:45:28 | 003,656,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.09.09 17:44:38 | 000,085,456 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.09.08 22:40:18 | 000,000,362 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job [2010.09.06 21:21:12 | 000,172,544 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\streetview092010.doc [2010.09.06 20:55:40 | 000,172,032 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.02 23:02:28 | 000,000,067 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Tagebuch - Negative abfotografieren - how to - deviantPhoto.eu.URL [2010.09.02 19:33:02 | 000,000,085 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Source Gobi Frauen kaufen Sie bei Globetrotter Ausrüstung!.URL [2010.09.01 22:47:01 | 000,012,800 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\dm.doc [2010.09.01 17:25:25 | 000,012,800 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\webBT2010.doc [2010.09.01 16:43:26 | 001,000,960 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\warum_prozeus.doc [2010.09.01 15:06:52 | 000,416,256 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus2.doc [2010.09.01 15:01:53 | 000,261,120 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus.doc [2010.08.30 21:50:19 | 000,143,872 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\gt-forum.doc [2010.08.29 21:07:40 | 000,000,059 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Jocelyn Carlin New Zealand commercial portfolio- advertising, illustrative, portraiture, landscape, reportage, photoeassays.URL [2010.08.29 17:53:18 | 000,553,545 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\jap.conf [2010.08.26 21:40:00 | 000,105,984 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\condor2010.doc [2010.08.25 22:09:07 | 000,000,080 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\„Ideen Initiative Zukunft“ – Jetzt bewerben.URL [2010.08.18 22:37:22 | 000,000,153 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Australian surfer killed by shark named - Telegraph.URL [2010.08.18 22:34:20 | 000,000,086 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\ScienceDaily New Species News.URL [2010.08.18 22:08:53 | 000,000,078 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\learnline Bildungsserver NRW.URL [2010.08.18 21:14:54 | 000,000,086 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Interdisziplinäres Fernstudium Umweltwissenschaften Weiterbildung Umwelt infernum.URL [2010.08.17 17:36:01 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\zuviel.doc [2010.08.17 17:34:35 | 000,485,554 | ---- | M] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\magister.pdf [2010.08.15 16:05:29 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb [2010.08.15 16:05:28 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb [2010.08.15 16:02:15 | 000,000,683 | ---- | M] () -- C:\WINDOWS\win.ini [2010.08.12 20:49:14 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf [2010.08.12 20:49:14 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_Apfiltr_01005.Wdf [2010.08.12 19:46:45 | 001,174,146 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.12 19:46:45 | 000,516,788 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.12 19:46:45 | 000,488,588 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.12 19:46:45 | 000,108,670 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.12 19:46:45 | 000,089,338 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.11 23:50:28 | 000,307,200 | ---- | M] (Koyote Soft - hxxp://www.koyotesoft.com) -- C:\WINDOWS\System32\TubeFinder.exe ========== Files Created - No Company Name ========== [2010.09.09 21:59:18 | 000,030,901 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\backdoor.jpg [2010.09.09 19:41:45 | 000,327,282 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg [2010.09.09 17:56:42 | 000,238,648 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Grafik1.cdr [2010.09.08 22:40:17 | 000,000,362 | ---- | C] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job [2010.09.06 21:21:11 | 000,172,544 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\streetview092010.doc [2010.09.02 23:02:28 | 000,000,067 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Tagebuch - Negative abfotografieren - how to - deviantPhoto.eu.URL [2010.09.02 19:33:02 | 000,000,085 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Source Gobi Frauen kaufen Sie bei Globetrotter Ausrüstung!.URL [2010.09.01 21:55:42 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\dm.doc [2010.09.01 16:46:01 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\webBT2010.doc [2010.09.01 15:15:13 | 001,000,960 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\warum_prozeus.doc [2010.09.01 15:06:52 | 000,416,256 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus2.doc [2010.09.01 14:59:10 | 000,261,120 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\prozeus.doc [2010.08.30 21:50:18 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\gt-forum.doc [2010.08.29 21:07:40 | 000,000,059 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Jocelyn Carlin New Zealand commercial portfolio- advertising, illustrative, portraiture, landscape, reportage, photoeassays.URL [2010.08.26 21:39:59 | 000,105,984 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\condor2010.doc [2010.08.25 22:09:07 | 000,000,080 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\„Ideen Initiative Zukunft“ – Jetzt bewerben.URL [2010.08.18 22:37:22 | 000,000,153 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Australian surfer killed by shark named - Telegraph.URL [2010.08.18 22:34:20 | 000,000,086 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\ScienceDaily New Species News.URL [2010.08.18 22:08:53 | 000,000,078 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\learnline Bildungsserver NRW.URL [2010.08.18 21:14:54 | 000,000,086 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\Interdisziplinäres Fernstudium Umweltwissenschaften Weiterbildung Umwelt infernum.URL [2010.08.17 17:34:35 | 000,485,554 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Desktop\magister.pdf [2010.08.17 17:29:31 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Eigene Dateien\zuviel.doc [2010.08.12 20:49:14 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf [2010.08.12 20:49:14 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_Apfiltr_01005.Wdf [2010.01.11 19:33:31 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache [2009.08.04 21:47:39 | 000,000,098 | ---- | C] () -- C:\WINDOWS\WirelessFTP.INI [2009.04.13 02:52:04 | 000,000,082 | ---- | C] () -- C:\WINDOWS\netdet.ini [2009.04.13 02:51:46 | 000,856,064 | ---- | C] () -- C:\WINDOWS\System32\SWFGen.dll [2009.04.13 02:51:45 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\TidyCOM.dll [2009.01.25 01:12:07 | 000,188,300 | ---- | C] () -- C:\WINDOWS\xobglu32.dll [2009.01.25 01:12:07 | 000,063,488 | ---- | C] () -- C:\WINDOWS\xobglu16.dll [2008.10.24 20:50:31 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2008.08.17 16:35:47 | 000,003,083 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log [2008.08.17 16:35:28 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll [2008.08.05 22:55:22 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2008.06.23 23:12:37 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0060DA2E12.sys [2008.06.23 23:12:36 | 000,002,828 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys [2008.05.21 22:16:25 | 000,172,032 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.04.01 21:49:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI [2008.03.30 13:50:24 | 000,000,106 | ---- | C] () -- C:\WINDOWS\Library.ini [2008.03.29 18:51:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ToDisc.INI [2008.03.28 21:37:10 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll [2008.03.28 21:37:10 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll [2008.03.28 20:13:40 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2008.03.28 18:56:06 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008.03.28 18:55:38 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4814.dll [2008.03.28 18:55:37 | 000,910,304 | ---- | C] () -- C:\WINDOWS\System32\igmedkrn.dll [2007.07.06 15:36:06 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.07.06 15:36:06 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.07.06 15:36:05 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.07.06 15:36:04 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.07.06 08:04:56 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2007.07.06 08:04:56 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2007.07.06 08:04:56 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2007.07.06 08:04:56 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2007.07.06 08:04:56 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2007.07.06 08:04:56 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2007.06.11 09:53:55 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2007.06.11 09:46:59 | 000,000,562 | ---- | C] () -- C:\WINDOWS\TBTdetect.ini [2007.06.08 15:13:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI [2007.06.08 14:52:33 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini [2007.06.08 14:52:33 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll [2007.06.08 14:52:33 | 000,010,146 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini [2007.06.08 14:52:33 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini [2007.06.08 13:46:42 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2007.06.08 13:34:47 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\ToshBIOS.dll [2007.06.08 13:34:47 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll [2006.02.09 14:46:26 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\VSHP1020.DLL [2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll [2004.12.27 18:48:36 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\gif89.dll [2004.02.27 16:36:18 | 000,015,498 | ---- | C] () -- C:\WINDOWS\snpstd3.ini [2003.11.18 02:37:20 | 000,072,192 | ---- | C] () -- C:\WINDOWS\System32\cszlib.dll [1998.07.06 00:00:00 | 000,064,512 | ---- | C] () -- C:\WINDOWS\System32\MSCC2DE.DLL ========== Alternate Data Streams ========== @Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66BBBB3E < End of report > Code:
ATTFilter OTL Extras logfile created on: 10.09.2010 16:01:29 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\time traveler\Desktop\DWLD
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 93,28 Gb Free Space | 62,58% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,69 Gb Total Space | 0,91 Gb Free Space | 24,81% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: TOSHIBA1
Current User Name: time traveler
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.js [@ = JSFile] -- C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe (Macromedia, Inc.)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
jsfile [open] -- "C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP" = 1033:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\WS_FTP\WS_FTP95.exe" = C:\Programme\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
"C:\Program Files\Real\RealPlayer\realplay.exe" = C:\Program Files\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0577A2AA-DEA0-4D40-8372-4211102D43E4}" = TOSHIBA Mic Effect
"{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}" = Macromedia Dreamweaver MX 2004
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{08CA9554-B5FE-4313-938F-D4A417B81175}" = QuickTime
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{12B3A009-A080-4619-9A2A-C6DB151D8D67}" = TOSHIBA Assist
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1E63ACB5-D45E-4856-8FC9-78F4B0D7BB80}" = TOSHIBA Sicherheits-Assistent
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2290A680-4083-410A-ADCC-7092C67FC052}" = Toshiba Online Product Information
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC-Diagnose-Tool
"{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}" = Microsoft SQL Server VSS Writer
"{2F353D44-73BB-4971-B31D-F7642E9E9531}" = Macromedia Flash MX 2004
"{2FFE93F0-BB72-4E52-8761-354D1AAA9387}" = Sony Ericsson PC Suite 6.009.00
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B8D9FA4-745C-47C9-962D-4ABE6ACE136B}" = TOSHIBA Mobile Extension3
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{400830CA-F056-4BBE-80A3-9DF9CA4FB889}" = TOSHIBA Direct Disc Writer
"{4323A3CF-D66F-46BC-AD16-B94D7BF05CF1}" = TOSHIBA Dienstprogramm für duales Zeigegerät
"{4761EB82-E8BD-45A4-B19B-586FA9D1D7E6}" = Camtasia Studio 6
"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12
"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client
"{56190F69-01D3-46CA-9861-43377C5E9B87}" = TOSHIBA Utilities
"{56995235-B76E-44A6-BA17-8FF13D3F907A}" = TOSHIBA Benutzerhandbücher
"{5DA0E02F-970B-424B-BF41-513A5018E4C0}" = TOSHIBA Disc Creator
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{64212898-097F-4F3F-AECA-6D34A7EF82DF}" = TOSHIBA Zoom-Dienstprogramm
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{737629F4-4111-4FD4-9071-29873B7C6426}" = Protector Suite 5.4
"{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}" = SSH Secure Shell
"{7862BAD8-A379-4128-8AA1-EFD5A9603C53}" = Wireless Hotkey
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD for TOSHIBA
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{94A90C69-71C1-470A-88F5-AA47ECC96B40}" = TOSHIBA HDD Protection
"{961034C0-58DF-11DF-97FD-005056806466}" = Google Earth Plug-in
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9ACBDDE2-DD2D-4103-8ECE-D1A9F7F03D1A}" = TOSHIBA Power Saver
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}" = CD/DVD Drive Acoustic Silencer
"{A040AC77-C1AA-4CC9-8931-9F648AF178F6}" = VC 9.0 Runtime
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5BA14E0-7384-11D4-BAE7-00409631A2C8}" = Macromedia Extension Manager
"{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}" = TOSHIBA Controls
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{B0513493-04B9-4F21-B4AB-83E750D54256}" = Adobe Photoshop Lightroom 2.7
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BBF5493A-05FB-4449-90DE-84A61EB78154}" = TOSHIBA SD Memory Boot Utility
"{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}" = Phase 5 HTML-Editor
"{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree
"{C081C7BF-86B9-453D-A91B-1DDC8204E9FA}" = Web-Recherche 3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C0FC3B56-E345-40CD-A5CB-7EB791CE3E74}" = TOSHIBA Password Utility
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C3A32068-8AB1-4327-BB16-BED9C6219DC7}" = Atheros Driver Installation Program
"{C720FA29-E544-4D07-8A25-E83D2311B0DF}" = Mindjet MindManager Viewer 7
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{D9E67746-9028-45C4-8924-8FDDFEA7F368}" = MD5 Fingerabdruck
"{DB780B85-B4B5-4864-A49C-9B706B169C93}" = TIPCI
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E56D39F8-2A9F-44B4-B068-A72E45A073E6}" = Safari
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}" = TOSHIBA SD Memory Utilities
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FAEEDF71-A043-455A-B1F7-F11D570C71BA}" = FDRTools Basic 2.2
"{FC4C645F-8EBC-4F1E-A517-D1505B43A374}" = TOSHIBA Wireless Key Logon
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{FF77941A-2BFA-4A18-BE2E-69B9498E4D55}" = User Profile Hive Cleanup Service
"AC3Filter" = AC3Filter (remove only)
"Ad-Aware" = Ad-Aware
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind
"CCleaner" = CCleaner
"Citavi" = Citavi 2.5.2.0
"Dia" = Dia (nur entfernen)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"Free FLV Converter_is1" = Free FLV Converter V 6.92.0
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.1
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InfoRapid KnowledgeMap" = InfoRapid KnowledgeMap
"InstallShield_{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC-Diagnose-Tool
"InstallShield_{56190F69-01D3-46CA-9861-43377C5E9B87}" = TOSHIBA Dienstprogramme
"InstallShield_{9ACBDDE2-DD2D-4103-8ECE-D1A9F7F03D1A}" = TOSHIBA Power Saver
"InstallShield_{C0FC3B56-E345-40CD-A5CB-7EB791CE3E74}" = TOSHIBA Passwort-Utility
"InstallShield_{DB780B85-B4B5-4864-A49C-9B706B169C93}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"IPS" = IPS
"IrfanView" = IrfanView (remove only)
"JAP" = JAP
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)
"Mozilla Thunderbird (3.1.3)" = Mozilla Thunderbird (3.1.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PROSet" = Intel(R) PRO Network Connections Drivers
"RealPlayer 6.0" = RealPlayer
"TDspBtn" = TOSHIBA Utility zum Bildschirmwechsel
"TFNF5" = TOSHIBA Hotkey Utility für Anzeigegeräte
"TME" = Deinstallationsprogamm fur TOSHIBA Mobile Extension3
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"Uninstall_is1" = Uninstall 1.0.0.1
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows CE Services" = Microsoft ActiveSync 3.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"603989baa3ce211a" = Foto Quelle Fotobuch
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 15.08.2010 06:07:49 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung divxupdate.exe, Version 1.0.1.10, fehlgeschlagenes
Modul msvcp80.dll, Version 8.0.50727.4053, Fehleradresse 0x000100b5.
Error - 16.08.2010 12:10:56 | Computer Name = TOSHIBA1 | Source = Google Update | ID = 20
Description =
Error - 16.08.2010 16:39:26 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wrsaver.exe, Version 3.10.0.783, fehlgeschlagenes
Modul wrsaver.exe, Version 3.10.0.783, Fehleradresse 0x000803c8.
Error - 23.08.2010 15:59:10 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung hhc.exe, Version 4.74.8702.0, fehlgeschlagenes
Modul hha.dll, Version 4.74.8702.0, Fehleradresse 0x0001e6f0.
Error - 23.08.2010 15:59:21 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 07105400.
Error - 09.09.2010 11:45:39 | Computer Name = TOSHIBA1 | Source = Google Update | ID = 20
Description =
Error - 09.09.2010 14:53:55 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avscan.exe, Version 10.0.3.0, fehlgeschlagenes
Modul msvcr90.dll, Version 9.0.30729.4148, Fehleradresse 0x0003fb29.
Error - 09.09.2010 15:16:24 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung avscan.exe, Version 10.0.3.0, fehlgeschlagenes
Modul msvcr90.dll, Version 9.0.30729.4148, Fehleradresse 0x0003fb29.
Error - 09.09.2010 15:18:26 | Computer Name = TOSHIBA1 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 1818328310.
Error - 10.09.2010 09:56:49 | Computer Name = TOSHIBA1 | Source = ESENT | ID = 490
Description = svchost (1624) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
[ System Events ]
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Sony Ericsson OMSI download service" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Tmesrv3" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "User Profile Hive Cleanup" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Festplattenschutz" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 09.09.2010 15:06:58 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Lavasoft Ad-Aware Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 5000 Millisekunden
durchgeführt: Starten Sie den Dienst neu..
Error - 09.09.2010 15:15:39 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7024
Description = Der Dienst "SQL Server (MSSMLBIZ)" wurde mit folgendem dienstspezifischem
Fehler beendet: 17058 (0x42A2).
Error - 09.09.2010 15:26:41 | Computer Name = TOSHIBA1 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "McComponentHostService"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {CC6F4D12-8575-4CFF-9455-CF5774AEB13B}
Error - 09.09.2010 15:26:41 | Computer Name = TOSHIBA1 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "McComponentHostService"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {CC6F4D12-8575-4CFF-9455-CF5774AEB13B}
Error - 09.09.2010 15:34:44 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7024
Description = Der Dienst "SQL Server (MSSMLBIZ)" wurde mit folgendem dienstspezifischem
Fehler beendet: 17058 (0x42A2).
Error - 10.09.2010 09:56:35 | Computer Name = TOSHIBA1 | Source = Service Control Manager | ID = 7024
Description = Der Dienst "SQL Server (MSSMLBIZ)" wurde mit folgendem dienstspezifischem
Fehler beendet: 17058 (0x42A2).
< End of report >
Code:
ATTFilter Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
Geändert von sanne2010 (10.09.2010 um 16:01 Uhr) Grund: Zusatzprotokoll |
|
11.09.2010, 12:00
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Backdoor.Papras/A Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 127.0.0.1:4001
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 4001
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 4001
FF - prefs.js..network.proxy.type: 0
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66BBBB3E
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
11.09.2010, 16:29
| #5 |
| | Win32.Backdoor.Papras/A Hallo Arne, danke. Habe noch mal überlegt. Der zu Beginn benannte Download war m.W. das einzige zu dem Zeitpunkt, zudem von der Adobe Seite. "Nur" Firefox hatte irgendwas geupdatet, ich weiß jedoch nicht mehr was, lief über AddOns. Der Rechner ist inzwischen sehr langsam bzw.man hört dass die HD arbeitet, aber jeder PrgStart dauert. Nach dem OTL hat das Runterfahren etliche Minuten benötigt. Zudem zeigt WIN nun immer, dass Avira nicht aktuell ist, erst nach MANULLEM Update verschwindet die Meldung; üblicherweise meckerte WIN nicht tgl. und AVIRA updatet allein. Dies nur als Info, falls irgendwo mit ein Zusammenhang bestehen sollte. Hier der OTL Log (Otl stand noch auf minimal Ausgabe, hoffe, das war okay): Code:
ATTFilter All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "Yahoo" removed from browser.search.defaultenginename
Prefs.js: "Winload Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "chr-greentree_ff&type=867034" removed from browser.search.param.yahoo-fr
Prefs.js: "Winload Customized Web Search" removed from browser.search.selectedEngine
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 4001 removed from network.proxy.http_port
Prefs.js: "" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.socks_remote_dns
Prefs.js: "127.0.0.1" removed from network.proxy.ssl
Prefs.js: 4001 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66BBBB3E deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Heide
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: time traveler
->Temp folder emptied: 1455167 bytes
->Temporary Internet Files folder emptied: 405663 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 33382679 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 456 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33251 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 34,00 mb
OTL by OldTimer - Version 3.2.11.0 log created on 09112010_171030
Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\time traveler\Lokale Einstellungen\Temp\div5.tmp\div6.tmp moved successfully.
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_98c.dat not found!
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_a1c.dat not found!
Registry entries deleted on Reboot...
|
|
11.09.2010, 19:42
| #6 |
| | Win32.Backdoor.Papras/A Hallo Arne, sehe gerade, dass der Papras wohl noch bei AdAware in Quarantäne hängt. AdAware hatte 2x Papras erkannt, wohl aber nicht wirklich löschen, in Quarantäne schieben können.  Sehe keine Möglichkeit, die Quarantäne zu löschen. Wäre das nicht sicherer? Danke, Gruß, sanne P.S.: Sehe gerade, dass in den WIN Ordneroptionen, Anzeige: wieder "Erweit.bei bekannten Dateiname" aktiviert ist, wie auch "geschützte Systemdateien aus- blenden". Wird dies ggf. durch eines der genutzten Tools zurück gesetzt - oder wer/was ist da am Werk??? Geändert von sanne2010 (11.09.2010 um 19:54 Uhr) Grund: Ergänzung |
|
11.09.2010, 22:30
| #7 | ||
| | Win32.Backdoor.Papras/A Avira meldet gerade Zitat:
Zitat:
 Die Systemwiederherstellung war immer deaktiviert!Schaue gerade nach: sie ist aktiviert. Deaktivieren? Was passiert dann mit dem Fund? |
|
12.09.2010, 01:40
| #8 |
| | Win32.Backdoor.Papras/A Habe die Systemwiederherstellung deaktiviert. AntiVir hat das Objekt in Quarantäne genommen. Habe dann noch einmal MBAM laufen lassen, mit diesem Ergebnis: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4595
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.09.2010 02:22:31
mbam-log-2010-09-12 (02-22-31).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 264669
Laufzeit: 2 Stunde(n), 7 Minute(n), 57 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\phase5\Plugins\Tabellenzerleger.dll (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
 Langsam verstehe ich das nicht mehr. Woher kommen alle diese Objekte bzw. deren Erkennung nach und nach? |
|
12.09.2010, 21:01
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Backdoor.Papras/A Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.09.2010, 18:50
| #10 |
| | Win32.Backdoor.Papras/A AVIRA Schlüssel Hinweis gerade erst gelesen ;-) mehr später- Geändert von sanne2010 (13.09.2010 um 18:56 Uhr) |
|
13.09.2010, 19:54
| #11 |
| | Win32.Backdoor.Papras/A Hier 2 Logs von cofi. Beim ersten Mal war plötzl.keine Webverbindung für den Wiederherstell.konselen-Dwld verfügbar. Beim 2 erfolgl.Versuch, nach Dwld., gab WIN einen blauen Bildschirm mit einer Treiberfehlermeldung aus zu mbr.sys. Nach Neustart klappte es dann. 1. log Code:
ATTFilter ComboFix 10-09-12.04 - time traveler 13.09.2010 20:06:31.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1397 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\time traveler\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe1.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe5F.dll
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg
C:\install.exe
C:\Thumbs.db
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-13 bis 2010-09-13 ))))))))))))))))))))))))))))))
.
2010-09-11 17:47 . 2010-09-11 17:47 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-11 17:47 . 2010-08-12 12:16 2979848 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-11 15:41 . 2010-09-11 15:41 -------- d-----w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-09 20:15 . 2010-09-09 20:15 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-09 19:06 . 2010-09-09 19:06 -------- d-----w- C:\_OTL
2010-09-09 16:49 . 2010-09-13 17:26 -------- d-----w- c:\programme\CCleaner
2010-09-09 16:45 . 2010-09-09 16:45 -------- d-----w- C:\adobeTemp
2010-09-08 20:36 . 2010-09-08 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-06 17:30 . 2010-09-06 17:30 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-01 21:28 . 2010-09-13 18:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai
2010-08-15 14:02 . 2010-08-15 14:02 -------- d-----w- c:\programme\Windows Media Connect 2
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 09:32 . 2008-10-14 19:47 -------- d-----w- c:\programme\phase5
2010-09-12 06:52 . 2009-01-08 22:16 1 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 15:09 . 2010-08-08 09:55 456200 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-09-09 16:45 . 2007-06-08 13:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-09 15:44 . 2008-03-28 16:56 85456 ----a-w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 20:39 . 2007-06-08 13:25 85456 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-07 20:29 . 2008-03-29 18:36 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-07 20:20 . 2009-11-23 21:39 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Skype
2010-09-06 17:30 . 2010-07-03 17:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-25 19:56 . 2008-03-29 18:40 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Thunderbird
2010-08-17 19:53 . 2010-06-19 21:03 -------- d-----w- c:\programme\Free FLV Converter
2010-08-17 19:49 . 2010-03-22 22:47 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\FreeFLVConverter
2010-08-12 19:01 . 2007-06-08 12:48 -------- d-----w- c:\programme\Apoint2K
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2010-08-12 17:46 . 2007-06-08 11:34 516788 ----a-w- c:\windows\system32\perfh007.dat
2010-08-12 17:46 . 2007-06-08 11:34 108670 ----a-w- c:\windows\system32\perfc007.dat
2010-08-12 12:15 . 2010-03-24 17:54 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-08-11 21:50 . 2010-03-22 22:47 307200 ----a-w- c:\windows\system32\TubeFinder.exe
2010-08-06 20:37 . 2010-08-05 19:03 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Web-Recherche
2010-08-05 19:05 . 2010-08-05 19:03 -------- d-----w- c:\programme\Web-Recherche
2010-07-28 20:11 . 2010-02-25 21:35 -------- d-----w- c:\programme\DVDVideoSoft
2010-07-09 14:17 . 2010-07-03 17:23 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-09 14:08 . 2010-07-09 14:08 57715 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 84054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-09 14:05 . 2010-07-03 17:22 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-09 14:05 . 2010-07-03 17:22 895256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-03 17:22 . 2010-07-03 17:22 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54166 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57532 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 56458 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54174 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54644 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2007-06-08 11:34 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2007-06-08 11:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-06-08 11:34 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2007-06-08 11:34 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-19 16:57 . 2010-03-24 19:21 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-06-17 20:58 . 2010-04-12 16:30 1824 ----a-w- c:\windows\pchealth\helpctr\Config\incstore.bin
2010-06-17 14:03 . 2007-06-08 11:34 80384 ----a-w- c:\windows\system32\iccvid.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-08-26 1779512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 16125440]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-08-11 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2007-12-15 184320]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"TPSODDCtl"="TPSODDCtl.exe" [2007-04-20 102400]
"TPSMain"="TPSMain.exe" [2007-04-20 299008]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 57344]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="c:\programme\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"TFncKy"="TFncKy.exe" [BU]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-09 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-09 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-09 138008]
"TFNF5"="TFNF5.exe" [2006-04-11 622592]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48 40448 ----a-w- c:\windows\system32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 02:54 65536 ----a-w- c:\windows\system32\TosBtNP.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02 208528 ----a-w- c:\programme\pdf24\pdf24.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-06-18 19:55 185896 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Macromedia Licensing Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.03.2010 19:54 64288]
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27.04.2007 10:19 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [09.03.2007 15:23 6528]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [08.06.2007 15:11 5888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [08.06.2007 13:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 14:27 135336]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 18:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 17:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 17:33 3456]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [08.06.2007 15:11 118784]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [12.09.2006 02:07 45952]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [12.09.2006 02:07 39440]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [08.06.2007 15:22 35968]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.10.2009 21:25 27632]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [08.06.2007 15:13 435072]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.12.2009 18:06 90112]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [15.09.2008 19:48 26816]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [12.09.2006 02:07 704128]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.01.2010 23:20 135664]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - Lavasoft Kernexplorer
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Inhalt des "geplante Tasks" Ordners
2010-09-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:06]
2010-09-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-09-08 01:44]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
FF - ProfilePath - c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com\components\nsWebResearch.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:11
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1737362206-2507374106-1611427970-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:22,9a,2d,ca,97,46,61,79,0b,a7,a4,bc,86,da,9d,c7,c7,12,f6,51,a5,8d,18,
8d,7f,80,f8,7e,a0,bc,8b,55,32,46,4f,75,cf,20,14,28,5a,6b,a2,fd,b1,fd,a5,71,\
"??"=hex:5e,ae,8b,39,4d,e9,fe,b6,93,1f,88,d5,46,17,a5,ae
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1292)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\programme\Protector Suite QL\crypto.dll
c:\programme\Protector Suite QL\biokmd.dll
c:\programme\Protector Suite QL\mysafe.dll
- - - - - - - > 'lsass.exe'(1348)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
.
Zeit der Fertigstellung: 2010-09-13 20:13:18
ComboFix-quarantined-files.txt 2010-09-13 18:13
Vor Suchlauf: 20 Verzeichnis(se), 108.981.932.032 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 108.985.135.104 Bytes frei
- - End Of File - - DAF3A551690180CA81956349CB4C01EC
Code:
ATTFilter ComboFix 10-09-12.04 - time traveler 13.09.2010 20:36:36.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1437 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\time traveler\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-13 bis 2010-09-13 ))))))))))))))))))))))))))))))
.
2010-09-11 17:47 . 2010-09-11 17:47 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-11 17:47 . 2010-08-12 12:16 2979848 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-11 15:41 . 2010-09-11 15:41 -------- d-----w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-09 20:15 . 2010-09-09 20:15 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-09 19:06 . 2010-09-09 19:06 -------- d-----w- C:\_OTL
2010-09-09 16:49 . 2010-09-13 17:26 -------- d-----w- c:\programme\CCleaner
2010-09-09 16:45 . 2010-09-09 16:45 -------- d-----w- C:\adobeTemp
2010-09-08 20:36 . 2010-09-08 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-06 17:30 . 2010-09-06 17:30 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-01 21:28 . 2010-09-13 18:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai
2010-08-15 14:02 . 2010-08-15 14:02 -------- d-----w- c:\programme\Windows Media Connect 2
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 09:32 . 2008-10-14 19:47 -------- d-----w- c:\programme\phase5
2010-09-12 06:52 . 2009-01-08 22:16 1 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 15:09 . 2010-08-08 09:55 456200 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-09-09 16:45 . 2007-06-08 13:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-09 15:44 . 2008-03-28 16:56 85456 ----a-w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 20:39 . 2007-06-08 13:25 85456 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-07 20:29 . 2008-03-29 18:36 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-07 20:20 . 2009-11-23 21:39 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Skype
2010-09-06 17:30 . 2010-07-03 17:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-25 19:56 . 2008-03-29 18:40 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Thunderbird
2010-08-17 19:53 . 2010-06-19 21:03 -------- d-----w- c:\programme\Free FLV Converter
2010-08-17 19:49 . 2010-03-22 22:47 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\FreeFLVConverter
2010-08-12 19:01 . 2007-06-08 12:48 -------- d-----w- c:\programme\Apoint2K
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2010-08-12 17:46 . 2007-06-08 11:34 516788 ----a-w- c:\windows\system32\perfh007.dat
2010-08-12 17:46 . 2007-06-08 11:34 108670 ----a-w- c:\windows\system32\perfc007.dat
2010-08-12 12:15 . 2010-03-24 17:54 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-08-11 21:50 . 2010-03-22 22:47 307200 ----a-w- c:\windows\system32\TubeFinder.exe
2010-08-06 20:37 . 2010-08-05 19:03 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Web-Recherche
2010-08-05 19:05 . 2010-08-05 19:03 -------- d-----w- c:\programme\Web-Recherche
2010-07-28 20:11 . 2010-02-25 21:35 -------- d-----w- c:\programme\DVDVideoSoft
2010-07-09 14:17 . 2010-07-03 17:23 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-09 14:08 . 2010-07-09 14:08 57715 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 84054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-09 14:05 . 2010-07-03 17:22 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-09 14:05 . 2010-07-03 17:22 895256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-03 17:22 . 2010-07-03 17:22 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54166 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57532 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 56458 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54174 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54644 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2007-06-08 11:34 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2007-06-08 11:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-06-08 11:34 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2007-06-08 11:34 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-19 16:57 . 2010-03-24 19:21 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-06-17 20:58 . 2010-04-12 16:30 1824 ----a-w- c:\windows\pchealth\helpctr\Config\incstore.bin
2010-06-17 14:03 . 2007-06-08 11:34 80384 ----a-w- c:\windows\system32\iccvid.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-09-13_18.11.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-13 18:33 . 2010-09-13 18:33 16384 c:\windows\Temp\Perflib_Perfdata_9f8.dat
+ 2010-09-13 18:33 . 2010-09-13 18:33 16384 c:\windows\Temp\Perflib_Perfdata_968.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 16125440]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-08-11 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2007-12-15 184320]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"TPSODDCtl"="TPSODDCtl.exe" [2007-04-20 102400]
"TPSMain"="TPSMain.exe" [2007-04-20 299008]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 57344]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="c:\programme\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"TFncKy"="TFncKy.exe" [BU]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-09 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-09 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-09 138008]
"TFNF5"="TFNF5.exe" [2006-04-11 622592]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48 40448 ----a-w- c:\windows\system32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 02:54 65536 ----a-w- c:\windows\system32\TosBtNP.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02 208528 ----a-w- c:\programme\pdf24\pdf24.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-06-18 19:55 185896 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Macromedia Licensing Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.03.2010 19:54 64288]
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27.04.2007 10:19 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [09.03.2007 15:23 6528]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [08.06.2007 15:11 5888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [08.06.2007 13:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 14:27 135336]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 18:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 17:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 17:33 3456]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [08.06.2007 15:11 118784]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [12.09.2006 02:07 45952]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [12.09.2006 02:07 39440]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [08.06.2007 15:22 35968]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.10.2009 21:25 27632]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [08.06.2007 15:13 435072]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.12.2009 18:06 90112]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [15.09.2008 19:48 26816]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [12.09.2006 02:07 704128]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.01.2010 23:20 135664]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Inhalt des "geplante Tasks" Ordners
2010-09-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:06]
2010-09-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-09-08 01:44]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
FF - ProfilePath - c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com\components\nsWebResearch.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:43
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1737362206-2507374106-1611427970-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:22,9a,2d,ca,97,46,61,79,0b,a7,a4,bc,86,da,9d,c7,c7,12,f6,51,a5,8d,18,
8d,7f,80,f8,7e,a0,bc,8b,55,32,46,4f,75,cf,20,14,28,5a,6b,a2,fd,b1,fd,a5,71,\
"??"=hex:5e,ae,8b,39,4d,e9,fe,b6,93,1f,88,d5,46,17,a5,ae
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1284)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\programme\Protector Suite QL\crypto.dll
c:\programme\Protector Suite QL\biokmd.dll
c:\programme\Protector Suite QL\mysafe.dll
- - - - - - - > 'lsass.exe'(1352)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
- - - - - - - > 'explorer.exe'(3940)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
Zeit der Fertigstellung: 2010-09-13 20:44:43
ComboFix-quarantined-files.txt 2010-09-13 18:44
ComboFix2.txt 2010-09-13 18:13
Vor Suchlauf: 21 Verzeichnis(se), 106.837.626.880 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 106.824.560.640 Bytes frei
- - End Of File - - 75621D830B9245F9C6B1DCEC357CF8AA
MERCI! Gruß, sanne |
|
13.09.2010, 21:13
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Backdoor.Papras/A Wieso hast Du cofi.exe 2x ausgeführt?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.09.2010, 21:58
| #13 |
| | Win32.Backdoor.Papras/A Weil beim ersten Mal benannte Internetverbindung weg war und cofi versuchte die Konsole downzuloaden. Falsch ? Uii, wenn Du schon so fragst ...  . Und nun? |
|
13.09.2010, 22:02
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Backdoor.Papras/A Nein ist schon ok. hast ja Glück gehabt. Nur mit CF solltest Du vorsichtig sein  Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.09.2010, 23:02
| #15 |
| | Win32.Backdoor.Papras/A Puh, okay, DANKE. Führe Deine benannten weiteren Schritte morgen aus. Gute Nacht. |
|
| Themen zu Win32.Backdoor.Papras/A |
| antivir, avira, awareness, c:\windows\system32\services.exe, cpu, desktop, dubioses, ebanking, einstellungen, festplatte, firefox, firefox.exe, google, home, jusched.exe, launch, logfile, m.exe, mozilla, neustart, oldtimer, papras, photoshop, required, scan, sched.exe, security, security scan, services.exe, software, svchost.exe, system, system 32, trojaner, updates, windows xp, wuauclt.exe |
Linear-Darstellung
