| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.10.2010, 19:44
| #1 | |
 |  30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Hallo Liebe Helfer! Vor paar Tagen hab ich festgestellt, dass der 30Tan-Deutsche-Bank Trojaner auch auf unseren Vista-Medion-Rechner gelangt ist. Da Antivir nichts feststellen konnte, hab ich es mit Ad-Aware versucht, welcher auch 4 Quarantänen vorgenommen hat und somit die Tan-Abfrage beseitigen konnte. Nun erscheint jedoch bei jedem hochfahren des Rechners eine Meldung durch die "rundll32.exe": "Fehler beim Laden von: C:\Users\***\AppData\Local\Temp\hdwwicpl.dll Das angegebene Modul wurde nicht gefunden." Da sich diese .dll in einem Temp-Ordner befinden soll und die Meldung erst aufgetaucht ist, nachdem Ad-Aware diese File unter Quaratäne gesetzt hat, geh ich mal davon aus, dass noch Teile des Trojaners aktiv sind und wahrscheinlich die rundll32.exe aufrufen um mir diese angeblich fehlende .dll mitzuteilen. Die .dll ist "tatsächlich" vorhanden und zwar im Ordner "C:\ProgramData\Lavasoft\Ad-Aware\Quarantine". Hier mal der Inhalt dieses Ordners: Zitat:
Nun weiß ich natürlich nicht, ob die Meldung "dll fehlt" überhaupt mit dem 30Tan-Trojaner zu tun hat oder von einer anderen Infizierung stammt, in jedem Fall aber hab ich mir mal eure Standard-Anleitung vorgeknöpft und bin sehr gewissenhaft jeden Schritt genau nach Anweisung durchgegangen, um dann hier die Log-Files zu posten und euere Bewertung abzuwarten. Die Log-Files, die ich habe, werd ich auch gleich noch posten. Das Problem ist nur, dass als gmer.exe lief, ist der Rechner mit einem Bluescreen abgestürtzt. Ich hab unter Garantie während des Scans keine Arbeiten am Rechner ausgeführt, es waren sämtliche Programme beendet, inklusive Ad-Aware und Antivir und auch die Inet-Verbindung war gekappt, IAT/EAT war enthackt, es war nur C:\ ausgewählt und "Show all" war ebenfalls enthackt, genau wie in der Anweisung beschrieben. Also dass ich mich nicht an die Anweisung Wort für Wort gehalten hätte, können wir als Fehlerursache schonmal auf jeden Fall ausschließen, da bin ich mir zu 100% sicher. Um so mehr lässt mich das ganze jetzt natürlich ziemlich ratlos und mit nem unguten Gefühl zurück. Von alleine will ich dieses Programm auf jeden Fall nicht mehr starten. Ich hoffe ihr könnt uns nun aber doch noch bei der Beiseitigung des "Rest"-Problems helfen und vorallem wüsst ich gern, wann ich wieder die Treiber für die CD-Images aktivieren kann! ^^ Mit freundlichen Gruß! Stefa-N Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4770
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
07.10.2010 19:46:52
mbam-log-2010-10-07 (19-46-52).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138562
Laufzeit: 4 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9a91dc2a-a55c-367f-5a56-dda51668dbbd} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:51 on 07/10/2010 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)
-=E.O.F=-
Also das sind die Logfiles. Wie man sehen kann, hat Malwarebytes noch einen Trojaner gefunden und "behandelt"... Ach und was mir grad noch einfällt... die "gmer.exe" muss sich doch direkt auf dem Desktop befinden oder? Ich fand das nämlich etwas uneindeutig in der Anweisung... das Entpacken mit winrar hat dazu geführt, dass ein Ordner GMER auf dem Desktop erzeugt wurde, welcher die gmer.exe enthielt, aber in der Anleitung steht "Gmer.exe muss sich am Desktop befinden." Ich vermute mal "am" soll "auf dem" heißen und daher hab ich die gmer.exe also auch auf den Desktop verschoben... ansonsten wüsste ich nicht, was "am" Desktop für eine Ortsangabe sein soll. Okay, dass war´s dann also an Infos. Ich hoffe ich hab nichts wesentliches vergessen, falls doch reiche ich die Infos natürlich sehr gerne nach! |
|
08.10.2010, 19:30
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du nur das mit dem einen Fund gepostet hättest!
__________________
__________________ |
|
08.10.2010, 23:34
| #3 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe oh es geht mir ja gar nicht primär um die ausgabe von malwarbytes. davon hab ich nur die eine und sie war auch mehr als ergänzende information gedacht. VORHER wurde der Job ja quasi von Ad-Aware gemacht, nur hab ich, wie im Betreff geschrieben, ja jetzt diese .dll-missing ansage und deshalb dacht ich, ihr könntet mir helfen den grund für diese meldung herauszufinden, da sie ja erst aufgetreten ist, nachdem der 30-tan trojaner entfernt wurde. nun wollt ich euren standard-scan durchführen, wie in der anleitung beschrieben um euch die Logfiles zu zeigen, nur ist eben dabei der rechner komplett abgestürzt mit einer bluescreenmeldung als die gmer.exe lief und das kam vorher und nachher nie vor, wurde also vom GMER ausgelöst.... sonst hätt ich alle anderen infos ja schon gepostet.
__________________aber ich kann ja mal die Logfile von Ad-Aware nachreichen: Code:
ATTFilter Logfile created: 05.10.2010 20:25:00
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ***
*********************** Definitions database information ***********************
Lavasoft definition file: 150.112
Genotype definition file version: 2010/10/05 13:52:43
Extended engine definition file: 6846.0
******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 24892
Objects detected: 3
Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 2
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0
Quarantined items:
Description: c:\users\***\appdata\local\temp\hdwwicpl.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: c:\program files\cheat engine\cheat engine.exe Family Name: Trojan.Win32.Delf.abt (fs) Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 35b27e767d3b3614ed701433556c702c
Description: c:\users\***\desktop\desktop\microsoft office 2007\microsoft_office_2007_professional\wga-fix.exe Family Name: Win32.TrojanDownloader.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 1001 MD5: c105e8ba1daf638d1f9eb1e09a00de1f
Scan and cleaning complete: Finished correctly after 219 seconds
*********************************** Settings ***********************************
Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: folderstoscan, enabled:1, value:
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true
Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: N/A
Scheduled scan settings:
<Empty>
Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Tue Oct 05 20:23:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Tue Oct 05 02:23:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Tue Oct 05 08:23:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Tue Oct 05 14:23:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Tue Oct 05 20:23:00 2010
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: true
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: true
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: true
ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language
Realtime protection settings:
ID: realtime, enabled:1
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: modules, enabled:1
ID: processprotection, enabled:0, value: true
ID: onaccessprotection, enabled:0, value: false
ID: registryprotection, enabled:0, value: true
ID: networkprotection, enabled:0, value: true
****************************** System information ******************************
Computer name: ****
Processor name: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
Processor identifier: x86 Family 6 Model 23 Stepping 10
Processor speed: ~2493MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 5898, number of processors 4, processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 1797730304 bytes
Physical memory total: 3486793728 bytes
Virtual memory available: 1794322432 bytes
Virtual memory total: 2147352576 bytes
Memory load: 48%
Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002)
Windows startup mode:
Running processes:
PID: 548 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 628 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 688 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 700 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 732 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 744 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 756 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 908 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 940 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1028 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1056 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1116 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1176 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1212 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1260 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1376 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1392 name: C:\Windows\System32\SLsvc.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1468 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1492 name: C:\Windows\System32\rundll32.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1644 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1948 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1972 name: C:\Program Files\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1984 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 916 name: C:\Program Files\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1508 name: C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2052 name: C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2076 name: C:\Program Files\Common Files\LightScribe\LSSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2100 name: C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2144 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 2156 name: C:\Windows\System32\PSIService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2192 name: C:\Program Files\Cyberlink\Shared files\RichVideo.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2260 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2316 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2356 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2552 name: C:\Windows\System32\WUDFHost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3032 name: C:\Windows\System32\dwm.exe owner: *** domain: ****
PID: 3068 name: C:\Windows\System32\taskeng.exe owner: *** domain: ****
PID: 3092 name: C:\Windows\explorer.exe owner: *** domain: ****
PID: 3328 name: C:\Program Files\Windows Defender\MSASCui.exe owner: *** domain: ****
PID: 3340 name: C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe owner: *** domain: ****
PID: 3352 name: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe owner: *** domain: ****
PID: 3408 name: C:\Windows\System32\rundll32.exe owner: *** domain: ****
PID: 3472 name: C:\Program Files\Avira\AntiVir Desktop\avgnt.exe owner: *** domain: ****
PID: 3636 name: C:\Program Files\Nero\Nero 7\InCD\InCD.exe owner: *** domain: ****
PID: 3704 name: C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe owner: *** domain: ****
PID: 3736 name: C:\Windows\ehome\ehtray.exe owner: *** domain: ****
PID: 3796 name: C:\Windows\System32\taskeng.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3804 name: C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe owner: *** domain: ****
PID: 3824 name: C:\Program Files\Windows Media Player\wmpnscfg.exe owner: *** domain: ****
PID: 3940 name: C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe owner: *** domain: ****
PID: 3968 name: C:\Windows\ehome\ehmsas.exe owner: *** domain: ****
PID: 4020 name: C:\Program Files\Windows Media Player\wmpnetwk.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1052 name: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3404 name: C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3904 name: C:\Windows\System32\wuauclt.exe owner: *** domain: ****
PID: 5896 name: C:\Program Files\Mozilla Firefox\firefox.exe owner: *** domain: ****
PID: 5324 name: C:\Program Files\Mozilla Firefox\plugin-container.exe owner: *** domain: ****
PID: 6064 name: C:\Windows\explorer.exe owner: *** domain: ****
PID: 2400 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: *** domain: ****
PID: 2140 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: *** domain: ****
PID: 296 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe owner: *** domain: ****
PID: 2976 name: C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4912 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4476 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4168 name: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe owner: *** domain: ****
PID: 4132 name: C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe owner: *** domain: ****
Startup items:
Name: Windows Defender
imagepath: %ProgramFiles%\Windows Defender\MSASCui.exe -hide
Name: IAAnotif
imagepath: "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
Name: RtHDVCpl
imagepath: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
Name: NvCplDaemon
imagepath: RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
Name: NvMediaCenter
imagepath: RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
Name: avgnt
imagepath: "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
Name: Adobe Reader Speed Launcher
imagepath: "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Name: Adobe ARM
imagepath: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Name: NeroFilterCheck
imagepath: C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
Name: InCD
imagepath: C:\Program Files\Nero\Nero 7\InCD\InCD.exe
Name: Acrobat Assistant 8.0
imagepath: "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
Name:
Name: QuickTime Task
imagepath: "C:\Program Files\QuickTime\QTTask.exe" -atboottime
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name:
location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
imagepath: C:\Windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe
Name:
location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
imagepath: C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
Name:
imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
Name:
imagepath: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
Bootexecute items:
Name:
imagepath: autocheck autochk *
Running services:
Name: AeLookupSvc
displayname: Anwendungserfahrung
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Appinfo
displayname: Anwendungsinformationen
Name: AudioEndpointBuilder
displayname: Windows-Audio-Endpunkterstellung
Name: Audiosrv
displayname: Windows-Audio
Name: BFE
displayname: Basisfiltermodul
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Browser
displayname: Computerbrowser
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: Dnscache
displayname: DNS-Client
Name: DPS
displayname: Diagnoserichtliniendienst
Name: EapHost
displayname: Extensible Authentication-Protokoll
Name: EMDMgmt
displayname: ReadyBoost
Name: Eventlog
displayname: Windows-Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: fdPHost
displayname: Funktionssuchanbieter-Host
Name: FDResPub
displayname: Funktionssuche-Ressourcenveröffentlichung
Name: FLEXnet Licensing Service
displayname: FLEXnet Licensing Service
Name: gpsvc
displayname: Gruppenrichtlinienclient
Name: hidserv
displayname: Zugriff auf Eingabegeräte
Name: IAANTMON
displayname: Intel(R) Matrix Storage Event Monitor
Name: IKEEXT
displayname: IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
Name: InCDsrv
displayname: InCD Helper
Name: iphlpsvc
displayname: IP-Hilfsdienst
Name: KeyIso
displayname: CNG-Schlüsselisolation
Name: KtmRm
displayname: KtmRm für Distributed Transaction Coordinator
Name: LanmanServer
displayname: Server
Name: LanmanWorkstation
displayname: Arbeitsstationsdienst
Name: LightScribeService
displayname: LightScribeService Direct Disc Labeling Service
Name: lmhosts
displayname: TCP/IP-NetBIOS-Hilfsdienst
Name: MMCSS
displayname: Multimediaklassenplaner
Name: MpsSvc
displayname: Windows-Firewall
Name: Netman
displayname: Netzwerkverbindungen
Name: netprofm
displayname: Netzwerklistendienst
Name: NIHardwareService
displayname: NIHardwareService
Name: NlaSvc
displayname: NLA (Network Location Awareness)
Name: NMIndexingService
displayname: NMIndexingService
Name: nsi
displayname: Netzwerkspeicher-Schnittstellendienst
Name: nvsvc
displayname: NVIDIA Display Driver Service
Name: PcaSvc
displayname: Programmkompatibilitäts-Assistent-Dienst
Name: PlugPlay
displayname: Plug & Play
Name: PolicyAgent
displayname: IPsec-Richtlinien-Agent
Name: ProfSvc
displayname: Benutzerprofildienst
Name: ProtexisLicensing
displayname: ProtexisLicensing
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RichVideo
displayname: Cyberlink RichVideo Service(CRVS)
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskonto-Manager
Name: Schedule
displayname: Aufgabenplanung
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Benachrichtigungsdienst für Systemereignisse
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: slsvc
displayname: Softwarelizenzierung
Name: Spooler
displayname: Druckwarteschlange
Name: SSDPSRV
displayname: SSDP-Suche
Name: SstpSvc
displayname: SSTP-Dienst
Name: stisvc
displayname: Windows-Bilderfassung
Name: SysMain
displayname: Superfetch
Name: TabletInputService
displayname: Tablet PC-Eingabedienst
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: upnphost
displayname: UPnP-Gerätehost
Name: UxSms
displayname: Sitzungs-Manager für Desktopfenster-Manager
Name: W32Time
displayname: Windows-Zeitgeber
Name: WdiSystemHost
displayname: Diagnosesystemhost
Name: WebClient
displayname: WebClient
Name: WerSvc
displayname: Windows-Fehlerberichterstattungsdienst
Name: WinDefend
displayname: Windows-Defender
Name: Winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
displayname: Automatische WLAN-Konfiguration
Name: WMPNetworkSvc
displayname: Windows Media Player-Netzwerkfreigabedienst
Name: WPDBusEnum
displayname: Enumeratordienst für tragbare Geräte
Name: wscsvc
displayname: Sicherheitscenter
Name: WSearch
displayname: Windows Search
Name: wuauserv
displayname: Windows Update
Name: wudfsvc
displayname: Windows Driver Foundation - Benutzermodus-Treiberframework
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
 Vielen Dank schonmal! Geändert von seit10jahren (08.10.2010 um 23:51 Uhr) |
|
08.10.2010, 23:44
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ |  30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exeZitat:
Ich hatte eine einfache Frage, zur Erinnerung: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.10.2010, 23:48
| #5 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe oh sorry. ^^ okay. also nein es gibt keine weiteren logfiles von malwarebytes. |
|
09.10.2010, 00:03
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Mehr wollte ich doch garnicht wissen  Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ --> 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe |
|
09.10.2010, 01:27
| #7 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe okay, es wurden keine Objekte gefunden. hier die Logfile: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4782
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
09.10.2010 02:16:18
mbam-log-2010-10-09 (02-16-18).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 299869
Laufzeit: 1 Stunde(n), 3 Minute(n), 14 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
09.10.2010, 17:19
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.10.2010, 18:07
| #9 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe okay, hier die otl.txt Code:
ATTFilter OTL logfile created on: 09.10.2010 18:55:18 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Users\***\Desktop\MFTools Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18943) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 59,00% Memory free 7,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 911,51 Gb Total Space | 686,75 Gb Free Space | 75,34% Space Free | Partition Type: NTFS Drive D: | 19,99 Gb Total Space | 8,25 Gb Free Space | 41,28% Space Free | Partition Type: FAT32 E: Drive not present or media not loaded F: Drive not present or media not loaded Drive G: | 1,85 Gb Total Space | 1,78 Gb Free Space | 96,72% Space Free | Partition Type: FAT H: Drive not present or media not loaded I: Drive not present or media not loaded Drive K: | 3,94 Gb Total Space | 2,72 Gb Free Space | 69,04% Space Free | Partition Type: FAT Computer Name: **** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Users\***\Desktop\MFTools\OTL.exe (OldTimer Tools) PRC - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) PRC - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (Intel Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Windows\System32\PSIService.exe () PRC - C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) PRC - C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG) PRC - C:\Program Files\Nero\Nero 7\InCD\InCD.exe (Nero AG) PRC - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG) PRC - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Adobe Systems Inc.) ========== Modules (SafeList) ========== MOD - C:\Users\***\Desktop\MFTools\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation) MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft) SRV - (FLEXnet Licensing Service) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (NIHardwareService) -- C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (SandraAgentSrv) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP2\RpcAgentSrv.exe (SiSoftware) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (Intel Corporation) SRV - (ProtexisLicensing) -- C:\Windows\System32\PSIService.exe () SRV - (InCDsrv) -- C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG) ========== Driver Services (SafeList) ========== DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (Lavasoft Kernexplorer) -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys () DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys (Duplex Secure Ltd.) DRV - (SANDRA) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP2\WNt500x86\Sandra.sys (SiSoftware) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - ({B154377D-700F-42cc-9474-23858FBDF4BD}) -- C:\Program Files\HomeCinema\PowerDVD9\000.fcl (CyberLink Corp.) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.) DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.) DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.) DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation) DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.) DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems) DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company) DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.) DRV - (e1express) Intel(R) -- C:\Windows\System32\drivers\e1e6032.sys (Intel Corporation) DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic) DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation) DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation) DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.) DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation) DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic) DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic) DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.) DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex) DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.) DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation) DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation) DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.) DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.) DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.) DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.) DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation) DRV - (netr28u) -- C:\Windows\System32\drivers\netr28u.sys (Ralink Technology Corp.) DRV - (incdrm) -- C:\Windows\System32\drivers\InCDRm.sys (Nero AG) DRV - (InCDPass) -- C:\Windows\System32\drivers\InCDPass.sys (Nero AG) DRV - (InCDfs) -- C:\Windows\System32\drivers\InCDfs.sys (Nero AG) DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation) DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.) DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation) DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.) DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.) DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.) DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic) DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic) DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation) DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.) DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.) DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.) DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tagesschau.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.5 FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.11.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=KlcceX6Y&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.17 19:23:18 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.17 19:23:18 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.01.21 01:46:11 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2009.10.17 14:04:16 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2010.07.17 11:29:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions [2010.01.21 01:42:49 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.01.21 01:42:49 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.01.21 02:10:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}-trash [2010.01.21 01:42:47 | 000,000,000 | ---D | M] (Flashblock) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a} [2010.07.17 11:29:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.04.16 11:27:00 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2010.04.16 11:27:15 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\staged-xpis [2010.10.09 13:16:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions [2010.04.27 14:27:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.07.17 11:29:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.04.13 15:48:23 | 000,002,593 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\h5oedavb.default\searchplugins\google-maps-deutschland.xml [2010.04.13 15:48:23 | 000,002,087 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\h5oedavb.default\searchplugins\youtube---videos.xml [2010.10.09 13:16:37 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions [2010.05.21 16:29:35 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Program Files\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010.04.09 09:57:33 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.04.09 09:57:33 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.04.09 09:57:33 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.04.09 09:57:33 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.04.09 09:57:33 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation) O4 - HKLM..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe (Nero AG) O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [chkdlace] C:\Users\***\AppData\Local\Temp\hdwwicpl.DLL File not found O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm () O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\AutoRun\command - "" = b00ijwpu.exe O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\open\Command - "" = b00ijwpu.exe O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\AutoRun\command - "" = lcw.exe O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\open\Command - "" = lcw.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\Windows\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.10.07 19:54:53 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Gmer [2010.10.07 19:39:18 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT [2010.10.07 19:37:41 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT [2010.10.07 19:30:49 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2010.10.07 19:30:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.10.07 19:30:27 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.10.07 19:30:27 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2010.10.07 19:30:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.10.07 19:28:04 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\MFTools [2010.10.05 21:25:06 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\Windows\System32\drivers\SBREDrv.sys [2010.10.05 20:05:42 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Sunbelt Software [2010.10.05 20:04:26 | 000,000,000 | -H-D | C] -- C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF} [2010.10.05 20:04:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft [2010.10.05 20:04:02 | 000,000,000 | ---D | C] -- C:\Program Files\Lavasoft [2010.09.29 10:18:09 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll [2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Yvew [2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Uhso [2010.09.21 22:22:50 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Benjamin Backup [2010.09.20 14:36:42 | 000,454,656 | ---- | C] (Simon Tatham) -- C:\Users\***\Desktop\putty.exe [2010.09.16 11:29:58 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Schadennsbilder [2010.09.15 15:42:02 | 000,317,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MP4SDECD.DLL [3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.10.09 18:55:33 | 003,932,160 | -HS- | M] () -- C:\Users\***\ntuser.dat [2010.10.09 17:35:33 | 000,003,744 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2010.10.09 17:35:33 | 000,003,744 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2010.10.09 11:39:49 | 001,418,806 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI [2010.10.09 11:39:49 | 000,618,204 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.10.09 11:39:49 | 000,586,980 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.10.09 11:39:49 | 000,122,636 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.10.09 11:39:49 | 000,101,052 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.10.09 11:36:21 | 000,000,370 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job [2010.10.09 11:35:35 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT [2010.10.09 11:35:33 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.10.09 11:35:31 | 3487,748,096 | -HS- | M] () -- C:\hiberfil.sys [2010.10.09 04:10:56 | 000,524,288 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms [2010.10.09 04:10:56 | 000,065,536 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf [2010.10.09 04:10:53 | 002,885,089 | -H-- | M] () -- C:\Users\***\AppData\Local\IconCache.db [2010.10.09 03:35:39 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{993A7D95-3B21-40D1-9D8F-510C7E177EF8}.job [2010.10.07 20:00:43 | 317,782,556 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010.10.07 19:51:55 | 000,000,020 | ---- | M] () -- C:\Users\***\defogger_reenable [2010.10.07 19:37:42 | 000,000,737 | ---- | M] () -- C:\Users\***\Desktop\NTREGOPT.lnk [2010.10.07 19:37:42 | 000,000,718 | ---- | M] () -- C:\Users\***\Desktop\ERUNT.lnk [2010.10.07 19:30:30 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.07 19:28:48 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\defogger.exe [2010.10.07 19:28:47 | 000,284,915 | ---- | M] () -- C:\Users\***\Desktop\Gmer.zip [2010.10.07 16:16:36 | 000,388,977 | ---- | M] () -- C:\Users\***\Desktop\Load.exe [2010.10.05 21:25:05 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\Windows\System32\drivers\SBREDrv.sys [2010.10.05 20:04:25 | 000,001,019 | ---- | M] () -- C:\Users\Public\Desktop\Ad-Aware.lnk [2010.10.03 05:21:13 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Local\PUTTY.RND [2010.09.23 19:49:13 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.09.23 19:24:06 | 000,000,583 | ---- | M] () -- C:\Users\***\Desktop\reihe.dat [2010.09.23 19:24:06 | 000,000,152 | ---- | M] () -- C:\Users\***\Desktop\funktion.dat [2010.09.23 18:21:21 | 002,597,659 | ---- | M] () -- C:\Users\***\Desktop\winscp428.zip [2010.09.20 14:36:43 | 000,454,656 | ---- | M] (Simon Tatham) -- C:\Users\***\Desktop\putty.exe [2010.09.16 20:18:51 | 019,890,986 | ---- | M] () -- C:\Users\***\Desktop\Schadennsbilder.rar [2010.09.16 14:30:17 | 000,405,156 | ---- | M] () -- C:\Users\***\Desktop\FotoMontage Geländer.jpg [2010.09.16 13:06:32 | 000,232,160 | ---- | M] () -- C:\Users\***\Desktop\BILD2462.jpg [2010.09.16 12:46:41 | 000,053,090 | ---- | M] () -- C:\Users\***\Desktop\P1050166~1-1.jpg [2010.09.16 12:46:38 | 000,086,338 | ---- | M] () -- C:\Users\***\Desktop\P1050167~1.jpg [2010.09.16 12:46:35 | 000,130,471 | ---- | M] () -- C:\Users\***\Desktop\P1050168~1.jpg [2010.09.16 12:46:31 | 000,140,087 | ---- | M] () -- C:\Users\***\Desktop\P1050165~1.jpg [2010.09.14 13:11:43 | 000,000,056 | -H-- | M] () -- C:\ProgramData\ezsidmv.dat [3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.10.09 11:36:21 | 000,000,370 | ---- | C] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job [2010.10.07 19:54:53 | 000,293,376 | ---- | C] () -- C:\Users\***\Desktop\gmer.exe [2010.10.07 19:51:41 | 000,000,020 | ---- | C] () -- C:\Users\***\defogger_reenable [2010.10.07 19:37:42 | 000,000,737 | ---- | C] () -- C:\Users\***\Desktop\NTREGOPT.lnk [2010.10.07 19:37:42 | 000,000,718 | ---- | C] () -- C:\Users\***\Desktop\ERUNT.lnk [2010.10.07 19:30:30 | 000,000,822 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.07 19:28:18 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\defogger.exe [2010.10.07 19:28:12 | 000,284,915 | ---- | C] () -- C:\Users\***\Desktop\Gmer.zip [2010.10.07 16:16:29 | 000,388,977 | ---- | C] () -- C:\Users\***\Desktop\Load.exe [2010.10.05 20:28:45 | 000,015,880 | ---- | C] () -- C:\Windows\System32\lsdelete.exe [2010.10.05 20:04:25 | 000,001,019 | ---- | C] () -- C:\Users\Public\Desktop\Ad-Aware.lnk [2010.09.23 18:25:48 | 000,000,583 | ---- | C] () -- C:\Users\***\Desktop\reihe.dat [2010.09.23 18:25:47 | 000,000,152 | ---- | C] () -- C:\Users\***\Desktop\funktion.dat [2010.09.23 18:21:19 | 002,597,659 | ---- | C] () -- C:\Users\***\Desktop\winscp428.zip [2010.09.16 20:18:39 | 019,890,986 | ---- | C] () -- C:\Users\***\Desktop\Schadennsbilder.rar [2010.09.16 14:30:13 | 000,405,156 | ---- | C] () -- C:\Users\***\Desktop\FotoMontage Geländer.jpg [2010.09.16 12:46:41 | 000,053,090 | ---- | C] () -- C:\Users\***\Desktop\P1050166~1-1.jpg [2010.09.16 12:46:38 | 000,086,338 | ---- | C] () -- C:\Users\***\Desktop\P1050167~1.jpg [2010.09.16 12:46:31 | 000,140,087 | ---- | C] () -- C:\Users\***\Desktop\P1050165~1.jpg [2010.09.16 11:35:26 | 003,502,353 | ---- | C] () -- C:\Users\***\Desktop\P1100012.JPG [2010.09.16 11:35:01 | 003,029,766 | ---- | C] () -- C:\Users\***\Desktop\P1100086.JPG [2010.09.16 11:35:01 | 002,686,579 | ---- | C] () -- C:\Users\***\Desktop\P1100087.JPG [2010.09.14 14:41:37 | 000,232,160 | ---- | C] () -- C:\Users\***\Desktop\BILD2462.jpg [2010.09.14 14:40:59 | 000,130,471 | ---- | C] () -- C:\Users\***\Desktop\P1050168~1.jpg [2010.07.23 16:43:57 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll [2010.07.21 16:20:22 | 000,005,916 | ---- | C] () -- C:\Windows\CDex.INI [2010.07.15 11:23:03 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.07.03 19:22:35 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Local\PUTTY.RND [2010.06.11 17:08:11 | 000,001,356 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat [2010.05.07 13:52:20 | 001,970,176 | ---- | C] () -- C:\Windows\System32\d3dx9.dll [2010.04.23 11:14:29 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2010.01.28 21:48:55 | 002,463,976 | ---- | C] () -- C:\Windows\System32\NPSWF32.dll [2009.10.28 22:56:25 | 000,001,065 | ---- | C] () -- C:\Windows\winamp.ini [2009.10.20 01:01:29 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2009.10.16 19:06:27 | 000,030,208 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.10.16 19:06:24 | 000,003,764 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys [2009.10.16 19:06:24 | 000,000,008 | RHS- | C] () -- C:\Windows\System32\3568E54D1D.sys [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini < End of report > und die scan.txt Code:
ATTFilter netsvcs
msconfig
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
|
|
09.10.2010, 19:26
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Was soll das mit der scan.txt werden? Davon war garnicht die Rede!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.10.2010, 19:36
| #11 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe achje... ich hab von zwei logfiles gelesen und dachte die scan.txt wär die zweite... hab grad noch die Extra.txt "entdeckt"  Code:
ATTFilter OTL Extras logfile created on: 09.10.2010 18:55:18 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = C:\Users\***\Desktop\MFTools
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 59,00% Memory free
7,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 911,51 Gb Total Space | 686,75 Gb Free Space | 75,34% Space Free | Partition Type: NTFS
Drive D: | 19,99 Gb Total Space | 8,25 Gb Free Space | 41,28% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 1,85 Gb Total Space | 1,78 Gb Free Space | 96,72% Space Free | Partition Type: FAT
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 3,94 Gb Total Space | 2,72 Gb Free Space | 69,04% Space Free | Partition Type: FAT
Computer Name: ****
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MI1933~1\Office12\ONENOTE.EXE "%L" File not found
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{04D66B3B-22E1-4FA3-8839-8D27DF80553C}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{0C437550-A904-4FEA-BEC4-D39F23824C86}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{10D66977-7CE7-4E6B-A6A8-682F34332DFF}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\rpcagentsrv.exe |
"{1CB0B733-25DD-4719-9998-B9C5508695F3}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{1CBD34E9-6CC2-4346-A890-8C02C6FD9871}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\wnt500x86\rpcsandrasrv.exe |
"{56696065-60CE-4100-BBC1-68EBE5C1C3B0}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe |
"{6261585E-92E8-4366-86FD-CA211227FA91}" = lport=137 | protocol=17 | dir=in | app=system |
"{64457C97-F45D-4635-A9F7-243780A072A3}" = rport=138 | protocol=17 | dir=out | app=system |
"{6BC2654F-A4B8-405C-AD2B-A801992A259B}" = rport=10243 | protocol=6 | dir=out | app=system |
"{73B26744-2849-4EA8-A976-E0644FD2532C}" = rport=139 | protocol=6 | dir=out | app=system |
"{743F7AA3-8736-4086-806B-8925988FF0F6}" = lport=139 | protocol=6 | dir=in | app=system |
"{771DBD7C-931E-46BF-8AE8-8B32DC5C285C}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{7B174D3C-E48A-47D6-8ADF-E9E3AEFD9339}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{7E967BCD-392A-4449-8BA0-2DAFC1ABBD77}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{891E1AA4-61C8-4A62-8D00-842D526814B6}" = lport=445 | protocol=6 | dir=in | app=system |
"{A5975A33-6450-4707-A69A-290E7345FA8A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{A6002840-71A0-46D5-A35A-1CF2F61DAD92}" = lport=138 | protocol=17 | dir=in | app=system |
"{B3AE155E-A14D-456A-9B8C-3F035CB00D9E}" = rport=445 | protocol=6 | dir=out | app=system |
"{BBA01373-DB09-444B-B5B7-148DEC16D5CE}" = lport=2869 | protocol=6 | dir=in | app=system |
"{C3927D80-FFD0-4A87-B705-DF4EEED25D90}" = lport=2869 | protocol=6 | dir=in | app=system |
"{DE4BD63F-EB82-4BCC-95B6-DF803F582D05}" = rport=137 | protocol=17 | dir=out | app=system |
"{E2F54DF3-2176-4BE0-B3ED-F43BF1A62A0A}" = lport=10243 | protocol=6 | dir=in | app=system |
"{FC88B6FA-5440-4E7F-8ADC-3A10DFBC395F}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00D9D911-CDD8-48E5-B889-CD3F1AA363FB}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{02B1A3A3-E6F9-4601-A3B3-B8CEE05BE901}" = dir=in | app=c:\program files\homecinema\powerdvd9\powerdvd cinema\powerdvdcinema.exe |
"{0E28489C-8760-47EF-8A62-911B7CB1C593}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{16E75387-1558-4B82-9646-E3CC35AA5668}" = protocol=1 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\rpcagentsrv.exe |
"{19D185C0-516C-4AB6-8267-B412AF7EDA0B}" = protocol=6 | dir=in | app=c:\program files\vuze\azureus.exe |
"{1F576782-9F8D-49A5-A653-29C1219DABB8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{2E2BBE21-802E-40DC-AE13-D9C094F5ADA8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{392DCDFF-7D41-44BC-80B4-7B6C2513BA29}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\farcry2.exe |
"{41FA98AA-FF9B-40F8-BCAC-0D49DEED46BA}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{42C2CF4F-0CED-497F-93E1-3CE4734AA8AE}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base15405\sc2.exe |
"{44270549-7741-4D5D-B3C1-5E7FB6F700F8}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe |
"{44E3F3DA-D2F3-46F4-954A-4CD56F505E7E}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe |
"{490456ED-EB03-470D-9C97-012DA0770BDC}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe |
"{4974A401-2913-4506-A192-C6AD02CF9B54}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{4F3FEE38-C2D0-4D30-8B9F-9EE0AD0BE454}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\farcry2.exe |
"{54C8060C-5DBE-415A-BB2A-99EE0B1852B9}" = protocol=6 | dir=out | app=system |
"{5B46585A-C0E7-4CCB-82FE-0B402D6E2D8A}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe |
"{5C5D76A8-3840-4349-97B5-C5C189D9C722}" = dir=in | app=c:\program files\homecinema\powerdvd9\powerdvd9.exe |
"{6005E31F-0DF9-453F-894F-FE032FF081E2}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{7AE88E64-D590-42B0-B78B-08B53000C33C}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2launcher.exe |
"{82F28977-1B88-4545-B26F-D74F19B5107E}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{840B1A12-A2F0-451F-8394-6F43BADC8693}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{872BFDBD-73DE-464E-9714-107F622BAF67}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2launcher.exe |
"{8D80EAC8-D8E8-425F-AD11-CB86D9E324F6}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{92DF2F87-B549-4D25-917F-180FA57645E9}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{BC5E5F93-9952-4FC2-9AC0-D54FA76D9DEA}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2editor.exe |
"{BDA30BF2-C41B-43AB-98ED-F5E0CEBCFB9F}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{C49F58AC-3143-4F50-9C47-73E9923F78B8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{CAC1A2DB-443E-4BB2-9FC9-A7E99052CE13}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{D2FD3772-8B0B-4338-93AA-50DC22EB9C2A}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{DB439CDC-98C3-4300-BD7B-B9FA85D8379F}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{DD8699CF-D07C-4A7E-B272-CC698FF89D20}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2editor.exe |
"{E42FAF10-3950-45BA-9805-051C42F9A79F}" = protocol=1 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\wnt500x86\rpcsandrasrv.exe |
"{E9E7F8AE-27AB-4189-AB03-6E5695363BB1}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{EBF14ACB-6D85-4591-B848-181E16808712}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{EF16F251-8A11-416B-ADFE-7506CDBEF785}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base15405\sc2.exe |
"{EF726F34-CDC1-4528-9036-7F94BFE6B67A}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{F3E305A9-FFC5-48AE-95EF-5DC9A7D1DDE6}" = protocol=17 | dir=in | app=c:\program files\vuze\azureus.exe |
"TCP Query User{039106B9-D5B6-48A0-A1AF-3EEC50C17A3E}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe |
"TCP Query User{12540095-5F8D-49A3-A57F-EFC98CCD7FF3}C:\program files\vectorworks arch 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks arch 2008\vectorworks2008.exe |
"TCP Query User{208CDD6D-75C9-408C-96A8-9B34A2A8126C}C:\program files\starcraft ii\versions\base16561\sc2.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base16561\sc2.exe |
"TCP Query User{21A6E2F7-ACED-473C-A9ED-74F9DE4AF0A5}C:\program files\vectorworks pro 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks pro 2008\vectorworks2008.exe |
"TCP Query User{719FD123-A4E0-462A-A771-7863CC8B234D}C:\program files\counter-strike 1.6\hl.exe" = protocol=6 | dir=in | app=c:\program files\counter-strike 1.6\hl.exe |
"TCP Query User{82C0022F-642A-4B8A-B59E-235D8C0412CB}C:\program files\starcraft ii\support\blizzarddownloader.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\support\blizzarddownloader.exe |
"TCP Query User{84BD36FA-EB20-4B51-8872-FFCA3C8B5031}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe |
"TCP Query User{8ED46D80-AB2C-449C-8582-FD0FF5C87E5E}C:\program files\vectorworks 12.5.1\vectorworks.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks 12.5.1\vectorworks.exe |
"TCP Query User{9973ED3E-EADB-460B-AD6B-9D4A8ACB0FBE}C:\program files\vectorworks basic 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks basic 2008\vectorworks2008.exe |
"TCP Query User{A06A008E-9D54-476D-ADA6-CB9663D3E65A}C:\program files\starcraft ii\versions\base16605\sc2.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base16605\sc2.exe |
"TCP Query User{A9D8B6B1-C479-487A-AA1F-7BE59AC19B63}C:\program files\vuze\azureus.exe" = protocol=6 | dir=in | app=c:\program files\vuze\azureus.exe |
"TCP Query User{ED884EB5-74E8-4378-B4A5-32BBB52990E9}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe |
"UDP Query User{01FF2A5A-32BD-4BE0-9DF1-0D2D9BDFE53B}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe |
"UDP Query User{25BA1FBA-FB0E-4A5E-A410-1C6A793ED50C}C:\program files\vectorworks basic 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks basic 2008\vectorworks2008.exe |
"UDP Query User{281454E2-9FEF-49FB-88A5-BF6AC8609BB8}C:\program files\vectorworks pro 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks pro 2008\vectorworks2008.exe |
"UDP Query User{2BCADCB9-224E-47E6-A0B1-A936E6BE6C17}C:\program files\counter-strike 1.6\hl.exe" = protocol=17 | dir=in | app=c:\program files\counter-strike 1.6\hl.exe |
"UDP Query User{51E47603-72C4-4D06-ACC6-DF7D81D2425D}C:\program files\vectorworks arch 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks arch 2008\vectorworks2008.exe |
"UDP Query User{52151909-4805-4527-958B-D3A7574CFF2B}C:\program files\vuze\azureus.exe" = protocol=17 | dir=in | app=c:\program files\vuze\azureus.exe |
"UDP Query User{6B1CEF91-AC99-4436-91EF-D5030AB31C68}C:\program files\starcraft ii\versions\base16605\sc2.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base16605\sc2.exe |
"UDP Query User{6B870403-D94B-425A-BD0F-7481A13C7D6C}C:\program files\vectorworks 12.5.1\vectorworks.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks 12.5.1\vectorworks.exe |
"UDP Query User{854142A6-9FC1-4013-873B-14851C70EB69}C:\program files\starcraft ii\support\blizzarddownloader.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\support\blizzarddownloader.exe |
"UDP Query User{B25C744B-F5BF-40EF-9824-EA959E3AD680}C:\program files\starcraft ii\versions\base16561\sc2.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base16561\sc2.exe |
"UDP Query User{BF514C1C-8B65-4AD2-8C9E-FFD0E1B502AD}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe |
"UDP Query User{FE6FAEDF-172E-4113-A45F-8526FABD6A60}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"_{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0886900B-B2F3-452C-B580-60F1253F7F80}" = Native Instruments Controller Editor
"{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3600_series" = Canon iP3600 series Printer Driver
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4200" = Canon iP4200
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series" = Canon iP4500 series
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series" = Canon iP4700 series Printer Driver
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{42F7C377-2A1F-44FB-A17F-053C29E81031}" = Nero 7 Ultra Edition
"{4A9849CA-E11C-4F24-8BB1-97C717A1C898}" = LightScribe System Software
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7655E113-C306-11D9-A373-0050BAE317E1}" = MCE Software Encoder 1.1
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}" = DE
"{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}" = CyberLink PowerDVD 9
"{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}" = Apple Application Support
"{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B74D4E10-6884-0000-0000-000000000101}" = Adobe Bridge 1.0
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{BAC80EF3-E106-4AEA-8C57-F217F9BC7358}" = Microsoft SQL Server 2005 Compact Edition [DEU]
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2296}_is1" = SiSoftware Sandra Lite 2010.SP2
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"{DD1865F0-AD73-40FB-B23E-1822E02396FF}" = NVIDIA PhysX
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E1C256F5-58C6-44E9-939A-E1189C8126E2}" = Google SketchUp Pro 7
"{E3D04529-6EDB-11D8-A372-0050BAE317E1}" = CyberLink PowerDVD Copy
"{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0
"{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2835483-37F2-4123-B4FE-0E77D58447F2}" = Far Cry 2
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"8461-7759-5462-8226" = Vuze
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Ad-Aware" = Ad-Aware
"Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP4700 series Benutzerregistrierung" = Canon iP4700 series Benutzerregistrierung
"Cheat Engine 5.6_is1" = Cheat Engine 5.6
"Counter-Strike 1.6_is1" = Counter-Strike 1.6
"DVD Shrink_is1" = DVD Shrink 3.2
"EPSON Scanner" = EPSON Scan
"ERUNT_is1" = ERUNT 1.1j
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}" = CyberLink PowerDVD 9
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup" = MozBackup 1.4.9
"Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"Native Instruments Controller Editor" = Native Instruments Controller Editor
"Native Instruments Service Center" = Native Instruments Service Center
"NVIDIA Drivers" = NVIDIA Drivers
"pdfsam" = pdfsam
"PKR" = PKR
"StarCraft II" = StarCraft II
"Timers" = Timers
"Uninstall_is1" = Uninstall 1.0.0.1
"VectorWorks Architektur 2008 SP1 R1" = VectorWorks Architektur 2008 SP1 R1
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp (remove only)
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR archiver
"winscp3_is1" = WinSCP 4.2.7
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Facebook Plug-In" = Facebook Plug-In
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 07.10.2010 09:43:32 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 07.10.2010 09:45:17 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 07.10.2010 12:55:37 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 07.10.2010 13:35:46 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 07.10.2010 13:49:59 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 07.10.2010 13:53:50 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 07.10.2010 14:01:10 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 08.10.2010 07:03:44 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 08.10.2010 17:55:30 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
Error - 09.10.2010 05:35:43 | Computer Name = **** | Source = WinMgmt | ID = 10
Description =
[ System Events ]
Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = DCOM | ID = 10005
Description =
Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = Service Control Manager | ID = 7009
Description =
Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = Service Control Manager | ID = 7000
Description =
Error - 25.08.2010 04:22:09 | Computer Name = **** | Source = Service Control Manager | ID = 7011
Description =
Error - 25.08.2010 09:59:02 | Computer Name = **** | Source = bowser | ID = 8003
Description =
Error - 26.08.2010 07:33:09 | Computer Name = **** | Source = Print | ID = 6161
Description = Das Dokument Aktionshof Renderworkswm.jpg im Besitz von *** konnte
nicht auf dem Drucker Canon iP4500 series gedruckt werden. Versuchen Sie erneut,
das Dokument zu drucken, oder starten Sie den Druckspooler erneut. Datentyp: NT
EMF 1.008. Größe der Spooldatei in Bytes: 25964616. Anzahl der gedruckten Bytes:
25964504. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten:
1. Clientcomputer: \\****. Vom Druckprozessor zurückgegebener Win32-Fehlercode:
32. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.
Error - 26.08.2010 08:42:13 | Computer Name = **** | Source = Print | ID = 6161
Description = Das Dokument Unbenannt-1 im Besitz von *** konnte nicht auf dem Drucker
Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken,
oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe der Spooldatei
in Bytes: 6503584. Anzahl der gedruckten Bytes: 6503504. Gesamtanzahl der Seiten
des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom
Druckprozessor zurückgegebener Win32-Fehlercode: 0. Der Vorgang wurde erfolgreich
beendet.
Error - 26.08.2010 08:43:14 | Computer Name = **** | Source = Print | ID = 6161
Description = Das Dokument Unbenannt-1 im Besitz von *** konnte nicht auf dem Drucker
Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken,
oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe der Spooldatei
in Bytes: 7471104. Anzahl der gedruckten Bytes: 6503504. Gesamtanzahl der Seiten
des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom
Druckprozessor zurückgegebener Win32-Fehlercode: 259. Es sind keine Daten mehr verfügbar.
Error - 28.08.2010 16:44:12 | Computer Name = **** | Source = Service Control Manager | ID = 7011
Description =
Error - 31.08.2010 14:40:39 | Computer Name = **** | Source = Service Control Manager | ID = 7034
Description =
< End of report >
|
|
09.10.2010, 20:52
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Kein problem, hast ja nichts kaputtgemacht  Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O4 - HKCU..\Run: [chkdlace] C:\Users\***\AppData\Local\Temp\hdwwicpl.DLL File not found
O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\AutoRun\command - "" = b00ijwpu.exe
O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\open\Command - "" = b00ijwpu.exe
O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\AutoRun\command - "" = lcw.exe
O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\open\Command - "" = lcw.exe
[2010.10.05 20:04:26 | 000,000,000 | -H-D | C] -- C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF}
[2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Yvew
[2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Uhso
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.10.2010, 01:58
| #13 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe YEAH die Meldung is weg!  Ihr seid der Hammer  hier die logfile: Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\chkdlace deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found.
File b00ijwpu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found.
File b00ijwpu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8874519-4881-11df-adda-00242178ace4}\ not found.
File lcw.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8874519-4881-11df-adda-00242178ace4}\ not found.
File lcw.exe not found.
C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF} folder moved successfully.
Folder C:\Users\***\AppData\Roaming\Yvew\ not found.
Folder C:\Users\***\AppData\Roaming\Uhso\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: ***
->Temp folder emptied: 186318 bytes
->Temporary Internet Files folder emptied: 228972 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 82243803 bytes
->Flash cache emptied: 3599 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 824 bytes
RecycleBin emptied: 62758 bytes
Total Files Cleaned = 79,00 mb
OTL by OldTimer - Version 3.2.14.1 log created on 10102010_025141
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
 gibts noch was zu tun? |
|
10.10.2010, 19:16
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen! 2.) Ordner C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
|
11.10.2010, 23:54
| #15 |
| | 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe die zip.datei ist hochgeladen |
|
| Themen zu 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe |
| 100%, ad-aware, aktiv, antivir, aufrufe, autostart, bluescreen, dateien, desktop, dll, explorer, fehler, festgestellt, file, local\temp, log-files, malwarebytes, microsoft, modul, problem, programdata, programme, ratlos, required, rojaner gefunden, rundll, rundll32.exe, software, temp, temp-ordner, treiber, trojan.zbotr.gen, trojaner, trojaner gefunden |
Linear-Darstellung
