Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.10.2010, 19:44   #1
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Rotes Gesicht

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Hallo Liebe Helfer!

Vor paar Tagen hab ich festgestellt, dass der 30Tan-Deutsche-Bank Trojaner auch auf unseren Vista-Medion-Rechner gelangt ist.
Da Antivir nichts feststellen konnte, hab ich es mit Ad-Aware versucht, welcher auch 4 Quarantänen vorgenommen hat und somit die Tan-Abfrage beseitigen konnte.
Nun erscheint jedoch bei jedem hochfahren des Rechners eine Meldung durch die "rundll32.exe":

"Fehler beim Laden von: C:\Users\***\AppData\Local\Temp\hdwwicpl.dll
Das angegebene Modul wurde nicht gefunden."

Da sich diese .dll in einem Temp-Ordner befinden soll und die Meldung erst aufgetaucht ist, nachdem Ad-Aware diese File unter Quaratäne gesetzt hat, geh ich mal davon aus, dass noch Teile des Trojaners aktiv sind und wahrscheinlich die rundll32.exe aufrufen um mir diese angeblich fehlende .dll mitzuteilen.
Die .dll ist "tatsächlich" vorhanden und zwar im Ordner "C:\ProgramData\Lavasoft\Ad-Aware\Quarantine". Hier mal der Inhalt dieses Ordners:

Zitat:
AAWQF20101005202840.aawqif 2kb
Cheat Engine.exe.304e937118e9975b55e07705b87b39.35b27e767d3b3614ed701433556c702c.aawqff 3.355kb
hdwwicpl.dll.7de089fbe79162564ae47704c1a9bcf.b3ad49776efd4cadbf3cc085d2fc6b.aawqff 50kb
wga-fix.exe.c94603c84bce62dc3f5994586685631.c15e8ba1daf638d1f9eb1e09a0de1f.aawqff 62kb
Alle 4 Quarantänen wurden zum selben Zeitpunkt angelegt (vorher war Ad-Aware auch gar nicht auf dem Rechner installiert.)


Nun weiß ich natürlich nicht, ob die Meldung "dll fehlt" überhaupt mit dem 30Tan-Trojaner zu tun hat oder von einer anderen Infizierung stammt, in jedem Fall aber hab ich mir mal eure Standard-Anleitung vorgeknöpft und bin sehr gewissenhaft jeden Schritt genau nach Anweisung durchgegangen, um dann hier die Log-Files zu posten und euere Bewertung abzuwarten. Die Log-Files, die ich habe, werd ich auch gleich noch posten. Das Problem ist nur, dass als gmer.exe lief, ist der Rechner mit einem Bluescreen abgestürtzt. Ich hab unter Garantie während des Scans keine Arbeiten am Rechner ausgeführt, es waren sämtliche Programme beendet, inklusive Ad-Aware und Antivir und auch die Inet-Verbindung war gekappt, IAT/EAT war enthackt, es war nur C:\ ausgewählt und "Show all" war ebenfalls enthackt, genau wie in der Anweisung beschrieben. Also dass ich mich nicht an die Anweisung Wort für Wort gehalten hätte, können wir als Fehlerursache schonmal auf jeden Fall ausschließen, da bin ich mir zu 100% sicher.
Um so mehr lässt mich das ganze jetzt natürlich ziemlich ratlos und mit nem unguten Gefühl zurück. Von alleine will ich dieses Programm auf jeden Fall nicht mehr starten.

Ich hoffe ihr könnt uns nun aber doch noch bei der Beiseitigung des "Rest"-Problems helfen und vorallem wüsst ich gern, wann ich wieder die Treiber für die CD-Images aktivieren kann! ^^

Mit freundlichen Gruß!
Stefa-N

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4770

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

07.10.2010 19:46:52
mbam-log-2010-10-07 (19-46-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138562
Laufzeit: 4 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9a91dc2a-a55c-367f-5a56-dda51668dbbd} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:51 on 07/10/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
         

Also das sind die Logfiles. Wie man sehen kann, hat Malwarebytes noch einen Trojaner gefunden und "behandelt"...

Ach und was mir grad noch einfällt... die "gmer.exe" muss sich doch direkt auf dem Desktop befinden oder? Ich fand das nämlich etwas uneindeutig in der Anweisung... das Entpacken mit winrar hat dazu geführt, dass ein Ordner GMER auf dem Desktop erzeugt wurde, welcher die gmer.exe enthielt, aber in der Anleitung steht "Gmer.exe muss sich am Desktop befinden." Ich vermute mal "am" soll "auf dem" heißen und daher hab ich die gmer.exe also auch auf den Desktop verschoben... ansonsten wüsste ich nicht, was "am" Desktop für eine Ortsangabe sein soll.

Okay, dass war´s dann also an Infos. Ich hoffe ich hab nichts wesentliches vergessen, falls doch reiche ich die Infos natürlich sehr gerne nach!

Alt 08.10.2010, 19:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du nur das mit dem einen Fund gepostet hättest!
__________________

__________________

Alt 08.10.2010, 23:34   #3
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



oh es geht mir ja gar nicht primär um die ausgabe von malwarbytes. davon hab ich nur die eine und sie war auch mehr als ergänzende information gedacht. VORHER wurde der Job ja quasi von Ad-Aware gemacht, nur hab ich, wie im Betreff geschrieben, ja jetzt diese .dll-missing ansage und deshalb dacht ich, ihr könntet mir helfen den grund für diese meldung herauszufinden, da sie ja erst aufgetreten ist, nachdem der 30-tan trojaner entfernt wurde. nun wollt ich euren standard-scan durchführen, wie in der anleitung beschrieben um euch die Logfiles zu zeigen, nur ist eben dabei der rechner komplett abgestürzt mit einer bluescreenmeldung als die gmer.exe lief und das kam vorher und nachher nie vor, wurde also vom GMER ausgelöst.... sonst hätt ich alle anderen infos ja schon gepostet.

aber ich kann ja mal die Logfile von Ad-Aware nachreichen:

Code:
ATTFilter
Logfile created: 05.10.2010 20:25:00
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ***

*********************** Definitions database information ***********************
Lavasoft definition file: 150.112
Genotype definition file version: 2010/10/05 13:52:43
Extended engine definition file: 6846.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan  (ID: smart)
Objects scanned: 24892
Objects detected: 3


Type              Detected
==========================
Processes.......:        1
Registry entries:        0
Hostfile entries:        0
Files...........:        2
Folders.........:        0
LSPs............:        0
Cookies.........:        0
Browser hijacks.:        0
MRU objects.....:        0



Quarantined items:
Description: c:\users\***\appdata\local\temp\hdwwicpl.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: c:\program files\cheat engine\cheat engine.exe Family Name: Trojan.Win32.Delf.abt (fs) Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 35b27e767d3b3614ed701433556c702c
Description: c:\users\***\desktop\desktop\microsoft office 2007\microsoft_office_2007_professional\wga-fix.exe Family Name: Win32.TrojanDownloader.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 1001 MD5: c105e8ba1daf638d1f9eb1e09a00de1f

Scan and cleaning complete: Finished correctly after 219 seconds

*********************************** Settings ***********************************

Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
  ID: folderstoscan, enabled:1, value: 
  ID: useantivirus, enabled:1, value: true
  ID: sections, enabled:1
    ID: scancriticalareas, enabled:1, value: true
    ID: scanrunningapps, enabled:1, value: true
    ID: scanregistry, enabled:1, value: true
    ID: scanlsp, enabled:1, value: true
    ID: scanads, enabled:1, value: false
    ID: scanhostsfile, enabled:1, value: false
    ID: scanmru, enabled:1, value: false
    ID: scanbrowserhijacks, enabled:1, value: true
    ID: scantrackingcookies, enabled:1, value: true
      ID: closebrowsers, enabled:1, value: false
  ID: filescanningoptions, enabled:1
    ID: archives, enabled:1, value: false
    ID: onlyexecutables, enabled:1, value: true
    ID: skiplargerthan, enabled:1, value: 20480
    ID: scanrootkits, enabled:1, value: true
      ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
    ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
  ID: addtocontextmenu, enabled:1, value: true
  ID: playsoundoninfection, enabled:1, value: false
    ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
  ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
  ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: schedules, enabled:1, value: true
    ID: updatedaily1, enabled:1, value: Daily 1
      ID: time, enabled:1, value: Tue Oct 05 20:23:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily2, enabled:1, value: Daily 2
      ID: time, enabled:1, value: Tue Oct 05 02:23:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily3, enabled:1, value: Daily 3
      ID: time, enabled:1, value: Tue Oct 05 08:23:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily4, enabled:1, value: Daily 4
      ID: time, enabled:1, value: Tue Oct 05 14:23:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updateweekly1, enabled:1, value: Weekly
      ID: time, enabled:1, value: Tue Oct 05 20:23:00 2010
      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: true
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: true
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
  ID: showtrayicon, enabled:1, value: true
  ID: autoentertainmentmode, enabled:1, value: true
  ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
  ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
  ID: layers, enabled:1
    ID: useantivirus, enabled:1, value: true
    ID: usespywareheuristics, enabled:1, value: true
  ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
  ID: modules, enabled:1
    ID: processprotection, enabled:0, value: true
    ID: onaccessprotection, enabled:0, value: false
    ID: registryprotection, enabled:0, value: true
    ID: networkprotection, enabled:0, value: true


****************************** System information ******************************
Computer name: ****
Processor name: Intel(R) Core(TM)2 Quad CPU    Q8300  @ 2.50GHz
Processor identifier: x86 Family 6 Model 23 Stepping 10
Processor speed: ~2493MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 5898, number of processors 4, processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 1797730304 bytes
Physical memory total: 3486793728 bytes
Virtual memory available: 1794322432 bytes
Virtual memory total: 2147352576 bytes
Memory load: 48%
Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002)
Windows startup mode:

Running processes:
PID: 548 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 628 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 688 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 700 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 732 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 744 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 756 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 908 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 940 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1028 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1056 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1116 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1176 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1212 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1260 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1376 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1392 name: C:\Windows\System32\SLsvc.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1468 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1492 name: C:\Windows\System32\rundll32.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1644 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1948 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1972 name: C:\Program Files\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1984 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 916 name: C:\Program Files\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1508 name: C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2052 name: C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2076 name: C:\Program Files\Common Files\LightScribe\LSSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2100 name: C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2144 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 2156 name: C:\Windows\System32\PSIService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2192 name: C:\Program Files\Cyberlink\Shared files\RichVideo.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2260 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2316 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2356 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2552 name: C:\Windows\System32\WUDFHost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3032 name: C:\Windows\System32\dwm.exe owner: *** domain: ****
PID: 3068 name: C:\Windows\System32\taskeng.exe owner: *** domain: ****
PID: 3092 name: C:\Windows\explorer.exe owner: *** domain: ****
PID: 3328 name: C:\Program Files\Windows Defender\MSASCui.exe owner: *** domain: ****
PID: 3340 name: C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe owner: *** domain: ****
PID: 3352 name: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe owner: *** domain: ****
PID: 3408 name: C:\Windows\System32\rundll32.exe owner: *** domain: ****
PID: 3472 name: C:\Program Files\Avira\AntiVir Desktop\avgnt.exe owner: *** domain: ****
PID: 3636 name: C:\Program Files\Nero\Nero 7\InCD\InCD.exe owner: *** domain: ****
PID: 3704 name: C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe owner: *** domain: ****
PID: 3736 name: C:\Windows\ehome\ehtray.exe owner: *** domain: ****
PID: 3796 name: C:\Windows\System32\taskeng.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3804 name: C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe owner: *** domain: ****
PID: 3824 name: C:\Program Files\Windows Media Player\wmpnscfg.exe owner: *** domain: ****
PID: 3940 name: C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe owner: *** domain: ****
PID: 3968 name: C:\Windows\ehome\ehmsas.exe owner: *** domain: ****
PID: 4020 name: C:\Program Files\Windows Media Player\wmpnetwk.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1052 name: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3404 name: C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3904 name: C:\Windows\System32\wuauclt.exe owner: *** domain: ****
PID: 5896 name: C:\Program Files\Mozilla Firefox\firefox.exe owner: *** domain: ****
PID: 5324 name: C:\Program Files\Mozilla Firefox\plugin-container.exe owner: *** domain: ****
PID: 6064 name: C:\Windows\explorer.exe owner: *** domain: ****
PID: 2400 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: *** domain: ****
PID: 2140 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: *** domain: ****
PID: 296 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe owner: *** domain: ****
PID: 2976 name: C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4912 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4476 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4168 name: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe owner: *** domain: ****
PID: 4132 name: C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe owner: *** domain: ****

Startup items:
Name: Windows Defender
          imagepath: %ProgramFiles%\Windows Defender\MSASCui.exe -hide
Name: IAAnotif
          imagepath: "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
Name: RtHDVCpl
          imagepath: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
Name: NvCplDaemon
          imagepath: RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
Name: NvMediaCenter
          imagepath: RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
Name: avgnt
          imagepath: "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
Name: Adobe Reader Speed Launcher
          imagepath: "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Name: Adobe ARM
          imagepath: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Name: NeroFilterCheck
          imagepath: C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
Name: InCD
          imagepath: C:\Program Files\Nero\Nero 7\InCD\InCD.exe
Name: Acrobat Assistant 8.0
          imagepath: "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
Name: 
Name: QuickTime Task
          imagepath: "C:\Program Files\QuickTime\QTTask.exe" -atboottime
Name: WebCheck
          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
          imagepath: Component Categories cache daemon
Name: 
          location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
          imagepath: C:\Windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe
Name: 
          location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
          imagepath: C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
Name: 
          imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
Name: 
          imagepath: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

Bootexecute items:
Name: 
          imagepath: autocheck autochk *

Running services:
Name: AeLookupSvc
          displayname: Anwendungserfahrung
Name: AntiVirSchedulerService
          displayname: Avira AntiVir Planer
Name: AntiVirService
          displayname: Avira AntiVir Guard
Name: Appinfo
          displayname: Anwendungsinformationen
Name: AudioEndpointBuilder
          displayname: Windows-Audio-Endpunkterstellung
Name: Audiosrv
          displayname: Windows-Audio
Name: BFE
          displayname: Basisfiltermodul
Name: BITS
          displayname: Intelligenter Hintergrundübertragungsdienst
Name: Browser
          displayname: Computerbrowser
Name: CryptSvc
          displayname: Kryptografiedienste
Name: DcomLaunch
          displayname: DCOM-Server-Prozessstart
Name: Dhcp
          displayname: DHCP-Client
Name: Dnscache
          displayname: DNS-Client
Name: DPS
          displayname: Diagnoserichtliniendienst
Name: EapHost
          displayname: Extensible Authentication-Protokoll
Name: EMDMgmt
          displayname: ReadyBoost
Name: Eventlog
          displayname: Windows-Ereignisprotokoll
Name: EventSystem
          displayname: COM+-Ereignissystem
Name: fdPHost
          displayname: Funktionssuchanbieter-Host
Name: FDResPub
          displayname: Funktionssuche-Ressourcenveröffentlichung
Name: FLEXnet Licensing Service
          displayname: FLEXnet Licensing Service
Name: gpsvc
          displayname: Gruppenrichtlinienclient
Name: hidserv
          displayname: Zugriff auf Eingabegeräte
Name: IAANTMON
          displayname: Intel(R) Matrix Storage Event Monitor
Name: IKEEXT
          displayname: IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
Name: InCDsrv
          displayname: InCD Helper
Name: iphlpsvc
          displayname: IP-Hilfsdienst
Name: KeyIso
          displayname: CNG-Schlüsselisolation
Name: KtmRm
          displayname: KtmRm für Distributed Transaction Coordinator
Name: LanmanServer
          displayname: Server
Name: LanmanWorkstation
          displayname: Arbeitsstationsdienst
Name: LightScribeService
          displayname: LightScribeService Direct Disc Labeling Service
Name: lmhosts
          displayname: TCP/IP-NetBIOS-Hilfsdienst
Name: MMCSS
          displayname: Multimediaklassenplaner
Name: MpsSvc
          displayname: Windows-Firewall
Name: Netman
          displayname: Netzwerkverbindungen
Name: netprofm
          displayname: Netzwerklistendienst
Name: NIHardwareService
          displayname: NIHardwareService
Name: NlaSvc
          displayname: NLA (Network Location Awareness)
Name: NMIndexingService
          displayname: NMIndexingService
Name: nsi
          displayname: Netzwerkspeicher-Schnittstellendienst
Name: nvsvc
          displayname: NVIDIA Display Driver Service
Name: PcaSvc
          displayname: Programmkompatibilitäts-Assistent-Dienst
Name: PlugPlay
          displayname: Plug & Play
Name: PolicyAgent
          displayname: IPsec-Richtlinien-Agent
Name: ProfSvc
          displayname: Benutzerprofildienst
Name: ProtexisLicensing
          displayname: ProtexisLicensing
Name: RasMan
          displayname: RAS-Verbindungsverwaltung
Name: RichVideo
          displayname: Cyberlink RichVideo Service(CRVS)
Name: RpcSs
          displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
          displayname: Sicherheitskonto-Manager
Name: Schedule
          displayname: Aufgabenplanung
Name: seclogon
          displayname: Sekundäre Anmeldung
Name: SENS
          displayname: Benachrichtigungsdienst für Systemereignisse
Name: ShellHWDetection
          displayname: Shellhardwareerkennung
Name: slsvc
          displayname: Softwarelizenzierung
Name: Spooler
          displayname: Druckwarteschlange
Name: SSDPSRV
          displayname: SSDP-Suche
Name: SstpSvc
          displayname: SSTP-Dienst
Name: stisvc
          displayname: Windows-Bilderfassung
Name: SysMain
          displayname: Superfetch
Name: TabletInputService
          displayname: Tablet PC-Eingabedienst
Name: TapiSrv
          displayname: Telefonie
Name: TermService
          displayname: Terminaldienste
Name: Themes
          displayname: Designs
Name: TrkWks
          displayname: Überwachung verteilter Verknüpfungen (Client)
Name: upnphost
          displayname: UPnP-Gerätehost
Name: UxSms
          displayname: Sitzungs-Manager für Desktopfenster-Manager
Name: W32Time
          displayname: Windows-Zeitgeber
Name: WdiSystemHost
          displayname: Diagnosesystemhost
Name: WebClient
          displayname: WebClient
Name: WerSvc
          displayname: Windows-Fehlerberichterstattungsdienst
Name: WinDefend
          displayname: Windows-Defender
Name: Winmgmt
          displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
          displayname: Automatische WLAN-Konfiguration
Name: WMPNetworkSvc
          displayname: Windows Media Player-Netzwerkfreigabedienst
Name: WPDBusEnum
          displayname: Enumeratordienst für tragbare Geräte
Name: wscsvc
          displayname: Sicherheitscenter
Name: WSearch
          displayname: Windows Search
Name: wuauserv
          displayname: Windows Update
Name: wudfsvc
          displayname: Windows Driver Foundation - Benutzermodus-Treiberframework
Name: Lavasoft Ad-Aware Service
          displayname: Lavasoft Ad-Aware Service
         
Könnte das vielleicht weiterhelfen?

Vielen Dank schonmal!
__________________

Geändert von seit10jahren (08.10.2010 um 23:51 Uhr)

Alt 08.10.2010, 23:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Ausrufezeichen

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Zitat:
oh es geht mir ja gar nicht primär um die ausgabe von malwarbytes.
Sry aber welche Logs von Interesse sind definierst nicht Du!
Ich hatte eine einfache Frage, zur Erinnerung:

Zitat:
Zitat von cosinus
Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du nur das mit dem einen Fund gepostet hättest!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2010, 23:48   #5
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



oh sorry. ^^ okay. also nein es gibt keine weiteren logfiles von malwarebytes.



Alt 09.10.2010, 00:03   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Mehr wollte ich doch garnicht wissen

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________
--> 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe

Alt 09.10.2010, 01:27   #7
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



okay, es wurden keine Objekte gefunden. hier die Logfile:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4782

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

09.10.2010 02:16:18
mbam-log-2010-10-09 (02-16-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 299869
Laufzeit: 1 Stunde(n), 3 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Alt 09.10.2010, 17:19   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2010, 18:07   #9
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



okay, hier die otl.txt

Code:
ATTFilter
OTL logfile created on: 09.10.2010 18:55:18 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Users\***\Desktop\MFTools
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 59,00% Memory free
7,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 911,51 Gb Total Space | 686,75 Gb Free Space | 75,34% Space Free | Partition Type: NTFS
Drive D: | 19,99 Gb Total Space | 8,25 Gb Free Space | 41,28% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 1,85 Gb Total Space | 1,78 Gb Free Space | 96,72% Space Free | Partition Type: FAT
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 3,94 Gb Total Space | 2,72 Gb Free Space | 69,04% Space Free | Partition Type: FAT
 
Computer Name: ****
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\***\Desktop\MFTools\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
PRC - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (Intel Corporation)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
PRC - C:\Windows\System32\PSIService.exe ()
PRC - C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - C:\Program Files\Nero\Nero 7\InCD\InCD.exe (Nero AG)
PRC - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Adobe Systems Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\***\Desktop\MFTools\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (FLEXnet Licensing Service) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (NIHardwareService) -- C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe (Native Instruments GmbH)
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (SandraAgentSrv) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP2\RpcAgentSrv.exe (SiSoftware)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (Intel Corporation)
SRV - (ProtexisLicensing) -- C:\Windows\System32\PSIService.exe ()
SRV - (InCDsrv) -- C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (Lavasoft Kernexplorer) -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys ()
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (SANDRA) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP2\WNt500x86\Sandra.sys (SiSoftware)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - ({B154377D-700F-42cc-9474-23858FBDF4BD}) -- C:\Program Files\HomeCinema\PowerDVD9\000.fcl (CyberLink Corp.)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (avgio) -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (e1express) Intel(R) -- C:\Windows\System32\drivers\e1e6032.sys (Intel Corporation)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (netr28u) -- C:\Windows\System32\drivers\netr28u.sys (Ralink Technology Corp.)
DRV - (incdrm) -- C:\Windows\System32\drivers\InCDRm.sys (Nero AG)
DRV - (InCDPass) -- C:\Windows\System32\drivers\InCDPass.sys (Nero AG)
DRV - (InCDfs) -- C:\Windows\System32\drivers\InCDfs.sys (Nero AG)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tagesschau.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.5
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.11.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=KlcceX6Y&q="
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.17 19:23:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.17 19:23:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.01.21 01:46:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2009.10.17 14:04:16 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2010.07.17 11:29:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions
[2010.01.21 01:42:49 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.01.21 01:42:49 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.01.21 02:10:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}-trash
[2010.01.21 01:42:47 | 000,000,000 | ---D | M] (Flashblock) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2010.07.17 11:29:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.04.16 11:27:00 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.04.16 11:27:15 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\h5oedavb.default\extensions\staged-xpis
[2010.10.09 13:16:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions
[2010.04.27 14:27:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.07.17 11:29:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\vxvj7w1m.***Browse\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.04.13 15:48:23 | 000,002,593 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\h5oedavb.default\searchplugins\google-maps-deutschland.xml
[2010.04.13 15:48:23 | 000,002,087 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\h5oedavb.default\searchplugins\youtube---videos.xml
[2010.10.09 13:16:37 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions
[2010.05.21 16:29:35 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Program Files\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.04.09 09:57:33 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.04.09 09:57:33 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.04.09 09:57:33 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.04.09 09:57:33 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.04.09 09:57:33 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation)
O4 - HKLM..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [chkdlace] C:\Users\***\AppData\Local\Temp\hdwwicpl.DLL File not found
O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\AutoRun\command - "" = b00ijwpu.exe
O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\open\Command - "" = b00ijwpu.exe
O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\AutoRun\command - "" = lcw.exe
O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\open\Command - "" = lcw.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\Windows\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.07 19:54:53 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Gmer
[2010.10.07 19:39:18 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2010.10.07 19:37:41 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT
[2010.10.07 19:30:49 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2010.10.07 19:30:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.10.07 19:30:27 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.10.07 19:30:27 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010.10.07 19:30:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.10.07 19:28:04 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\MFTools
[2010.10.05 21:25:06 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\Windows\System32\drivers\SBREDrv.sys
[2010.10.05 20:05:42 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Sunbelt Software
[2010.10.05 20:04:26 | 000,000,000 | -H-D | C] -- C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF}
[2010.10.05 20:04:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft
[2010.10.05 20:04:02 | 000,000,000 | ---D | C] -- C:\Program Files\Lavasoft
[2010.09.29 10:18:09 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Yvew
[2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Uhso
[2010.09.21 22:22:50 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Benjamin Backup
[2010.09.20 14:36:42 | 000,454,656 | ---- | C] (Simon Tatham) -- C:\Users\***\Desktop\putty.exe
[2010.09.16 11:29:58 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Schadennsbilder
[2010.09.15 15:42:02 | 000,317,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MP4SDECD.DLL
[3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.09 18:55:33 | 003,932,160 | -HS- | M] () -- C:\Users\***\ntuser.dat
[2010.10.09 17:35:33 | 000,003,744 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.10.09 17:35:33 | 000,003,744 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.10.09 11:39:49 | 001,418,806 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.10.09 11:39:49 | 000,618,204 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.10.09 11:39:49 | 000,586,980 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.10.09 11:39:49 | 000,122,636 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.10.09 11:39:49 | 000,101,052 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.10.09 11:36:21 | 000,000,370 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
[2010.10.09 11:35:35 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.10.09 11:35:33 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.10.09 11:35:31 | 3487,748,096 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.09 04:10:56 | 000,524,288 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2010.10.09 04:10:56 | 000,065,536 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2010.10.09 04:10:53 | 002,885,089 | -H-- | M] () -- C:\Users\***\AppData\Local\IconCache.db
[2010.10.09 03:35:39 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{993A7D95-3B21-40D1-9D8F-510C7E177EF8}.job
[2010.10.07 20:00:43 | 317,782,556 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.10.07 19:51:55 | 000,000,020 | ---- | M] () -- C:\Users\***\defogger_reenable
[2010.10.07 19:37:42 | 000,000,737 | ---- | M] () -- C:\Users\***\Desktop\NTREGOPT.lnk
[2010.10.07 19:37:42 | 000,000,718 | ---- | M] () -- C:\Users\***\Desktop\ERUNT.lnk
[2010.10.07 19:30:30 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.07 19:28:48 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\defogger.exe
[2010.10.07 19:28:47 | 000,284,915 | ---- | M] () -- C:\Users\***\Desktop\Gmer.zip
[2010.10.07 16:16:36 | 000,388,977 | ---- | M] () -- C:\Users\***\Desktop\Load.exe
[2010.10.05 21:25:05 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\Windows\System32\drivers\SBREDrv.sys
[2010.10.05 20:04:25 | 000,001,019 | ---- | M] () -- C:\Users\Public\Desktop\Ad-Aware.lnk
[2010.10.03 05:21:13 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Local\PUTTY.RND
[2010.09.23 19:49:13 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Roaming\winscp.rnd
[2010.09.23 19:24:06 | 000,000,583 | ---- | M] () -- C:\Users\***\Desktop\reihe.dat
[2010.09.23 19:24:06 | 000,000,152 | ---- | M] () -- C:\Users\***\Desktop\funktion.dat
[2010.09.23 18:21:21 | 002,597,659 | ---- | M] () -- C:\Users\***\Desktop\winscp428.zip
[2010.09.20 14:36:43 | 000,454,656 | ---- | M] (Simon Tatham) -- C:\Users\***\Desktop\putty.exe
[2010.09.16 20:18:51 | 019,890,986 | ---- | M] () -- C:\Users\***\Desktop\Schadennsbilder.rar
[2010.09.16 14:30:17 | 000,405,156 | ---- | M] () -- C:\Users\***\Desktop\FotoMontage Geländer.jpg
[2010.09.16 13:06:32 | 000,232,160 | ---- | M] () -- C:\Users\***\Desktop\BILD2462.jpg
[2010.09.16 12:46:41 | 000,053,090 | ---- | M] () -- C:\Users\***\Desktop\P1050166~1-1.jpg
[2010.09.16 12:46:38 | 000,086,338 | ---- | M] () -- C:\Users\***\Desktop\P1050167~1.jpg
[2010.09.16 12:46:35 | 000,130,471 | ---- | M] () -- C:\Users\***\Desktop\P1050168~1.jpg
[2010.09.16 12:46:31 | 000,140,087 | ---- | M] () -- C:\Users\***\Desktop\P1050165~1.jpg
[2010.09.14 13:11:43 | 000,000,056 | -H-- | M] () -- C:\ProgramData\ezsidmv.dat
[3 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.09 11:36:21 | 000,000,370 | ---- | C] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
[2010.10.07 19:54:53 | 000,293,376 | ---- | C] () -- C:\Users\***\Desktop\gmer.exe
[2010.10.07 19:51:41 | 000,000,020 | ---- | C] () -- C:\Users\***\defogger_reenable
[2010.10.07 19:37:42 | 000,000,737 | ---- | C] () -- C:\Users\***\Desktop\NTREGOPT.lnk
[2010.10.07 19:37:42 | 000,000,718 | ---- | C] () -- C:\Users\***\Desktop\ERUNT.lnk
[2010.10.07 19:30:30 | 000,000,822 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.07 19:28:18 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\defogger.exe
[2010.10.07 19:28:12 | 000,284,915 | ---- | C] () -- C:\Users\***\Desktop\Gmer.zip
[2010.10.07 16:16:29 | 000,388,977 | ---- | C] () -- C:\Users\***\Desktop\Load.exe
[2010.10.05 20:28:45 | 000,015,880 | ---- | C] () -- C:\Windows\System32\lsdelete.exe
[2010.10.05 20:04:25 | 000,001,019 | ---- | C] () -- C:\Users\Public\Desktop\Ad-Aware.lnk
[2010.09.23 18:25:48 | 000,000,583 | ---- | C] () -- C:\Users\***\Desktop\reihe.dat
[2010.09.23 18:25:47 | 000,000,152 | ---- | C] () -- C:\Users\***\Desktop\funktion.dat
[2010.09.23 18:21:19 | 002,597,659 | ---- | C] () -- C:\Users\***\Desktop\winscp428.zip
[2010.09.16 20:18:39 | 019,890,986 | ---- | C] () -- C:\Users\***\Desktop\Schadennsbilder.rar
[2010.09.16 14:30:13 | 000,405,156 | ---- | C] () -- C:\Users\***\Desktop\FotoMontage Geländer.jpg
[2010.09.16 12:46:41 | 000,053,090 | ---- | C] () -- C:\Users\***\Desktop\P1050166~1-1.jpg
[2010.09.16 12:46:38 | 000,086,338 | ---- | C] () -- C:\Users\***\Desktop\P1050167~1.jpg
[2010.09.16 12:46:31 | 000,140,087 | ---- | C] () -- C:\Users\***\Desktop\P1050165~1.jpg
[2010.09.16 11:35:26 | 003,502,353 | ---- | C] () -- C:\Users\***\Desktop\P1100012.JPG
[2010.09.16 11:35:01 | 003,029,766 | ---- | C] () -- C:\Users\***\Desktop\P1100086.JPG
[2010.09.16 11:35:01 | 002,686,579 | ---- | C] () -- C:\Users\***\Desktop\P1100087.JPG
[2010.09.14 14:41:37 | 000,232,160 | ---- | C] () -- C:\Users\***\Desktop\BILD2462.jpg
[2010.09.14 14:40:59 | 000,130,471 | ---- | C] () -- C:\Users\***\Desktop\P1050168~1.jpg
[2010.07.23 16:43:57 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2010.07.21 16:20:22 | 000,005,916 | ---- | C] () -- C:\Windows\CDex.INI
[2010.07.15 11:23:03 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Roaming\winscp.rnd
[2010.07.03 19:22:35 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Local\PUTTY.RND
[2010.06.11 17:08:11 | 000,001,356 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps.dat
[2010.05.07 13:52:20 | 001,970,176 | ---- | C] () -- C:\Windows\System32\d3dx9.dll
[2010.04.23 11:14:29 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.01.28 21:48:55 | 002,463,976 | ---- | C] () -- C:\Windows\System32\NPSWF32.dll
[2009.10.28 22:56:25 | 000,001,065 | ---- | C] () -- C:\Windows\winamp.ini
[2009.10.20 01:01:29 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009.10.16 19:06:27 | 000,030,208 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.10.16 19:06:24 | 000,003,764 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys
[2009.10.16 19:06:24 | 000,000,008 | RHS- | C] () -- C:\Windows\System32\3568E54D1D.sys
[2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll
[2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
< End of report >
         


und die scan.txt
Code:
ATTFilter
netsvcs
msconfig
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe 
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

Alt 09.10.2010, 19:26   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Was soll das mit der scan.txt werden?
Davon war garnicht die Rede!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2010, 19:36   #11
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



achje... ich hab von zwei logfiles gelesen und dachte die scan.txt wär die zweite... hab grad noch die Extra.txt "entdeckt"

Code:
ATTFilter
OTL Extras logfile created on: 09.10.2010 18:55:18 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Users\***\Desktop\MFTools
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 59,00% Memory free
7,00 Gb Paging File | 6,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 911,51 Gb Total Space | 686,75 Gb Free Space | 75,34% Space Free | Partition Type: NTFS
Drive D: | 19,99 Gb Total Space | 8,25 Gb Free Space | 41,28% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 1,85 Gb Total Space | 1,78 Gb Free Space | 96,72% Space Free | Partition Type: FAT
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 3,94 Gb Total Space | 2,72 Gb Free Space | 69,04% Space Free | Partition Type: FAT
 
Computer Name: ****
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MI1933~1\Office12\ONENOTE.EXE "%L" File not found
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{04D66B3B-22E1-4FA3-8839-8D27DF80553C}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{0C437550-A904-4FEA-BEC4-D39F23824C86}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{10D66977-7CE7-4E6B-A6A8-682F34332DFF}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\rpcagentsrv.exe | 
"{1CB0B733-25DD-4719-9998-B9C5508695F3}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{1CBD34E9-6CC2-4346-A890-8C02C6FD9871}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\wnt500x86\rpcsandrasrv.exe | 
"{56696065-60CE-4100-BBC1-68EBE5C1C3B0}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{6261585E-92E8-4366-86FD-CA211227FA91}" = lport=137 | protocol=17 | dir=in | app=system | 
"{64457C97-F45D-4635-A9F7-243780A072A3}" = rport=138 | protocol=17 | dir=out | app=system | 
"{6BC2654F-A4B8-405C-AD2B-A801992A259B}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{73B26744-2849-4EA8-A976-E0644FD2532C}" = rport=139 | protocol=6 | dir=out | app=system | 
"{743F7AA3-8736-4086-806B-8925988FF0F6}" = lport=139 | protocol=6 | dir=in | app=system | 
"{771DBD7C-931E-46BF-8AE8-8B32DC5C285C}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{7B174D3C-E48A-47D6-8ADF-E9E3AEFD9339}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{7E967BCD-392A-4449-8BA0-2DAFC1ABBD77}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{891E1AA4-61C8-4A62-8D00-842D526814B6}" = lport=445 | protocol=6 | dir=in | app=system | 
"{A5975A33-6450-4707-A69A-290E7345FA8A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{A6002840-71A0-46D5-A35A-1CF2F61DAD92}" = lport=138 | protocol=17 | dir=in | app=system | 
"{B3AE155E-A14D-456A-9B8C-3F035CB00D9E}" = rport=445 | protocol=6 | dir=out | app=system | 
"{BBA01373-DB09-444B-B5B7-148DEC16D5CE}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{C3927D80-FFD0-4A87-B705-DF4EEED25D90}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{DE4BD63F-EB82-4BCC-95B6-DF803F582D05}" = rport=137 | protocol=17 | dir=out | app=system | 
"{E2F54DF3-2176-4BE0-B3ED-F43BF1A62A0A}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{FC88B6FA-5440-4E7F-8ADC-3A10DFBC395F}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00D9D911-CDD8-48E5-B889-CD3F1AA363FB}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{02B1A3A3-E6F9-4601-A3B3-B8CEE05BE901}" = dir=in | app=c:\program files\homecinema\powerdvd9\powerdvd cinema\powerdvdcinema.exe | 
"{0E28489C-8760-47EF-8A62-911B7CB1C593}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{16E75387-1558-4B82-9646-E3CC35AA5668}" = protocol=1 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\rpcagentsrv.exe | 
"{19D185C0-516C-4AB6-8267-B412AF7EDA0B}" = protocol=6 | dir=in | app=c:\program files\vuze\azureus.exe | 
"{1F576782-9F8D-49A5-A653-29C1219DABB8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{2E2BBE21-802E-40DC-AE13-D9C094F5ADA8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{392DCDFF-7D41-44BC-80B4-7B6C2513BA29}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\farcry2.exe | 
"{41FA98AA-FF9B-40F8-BCAC-0D49DEED46BA}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{42C2CF4F-0CED-497F-93E1-3CE4734AA8AE}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base15405\sc2.exe | 
"{44270549-7741-4D5D-B3C1-5E7FB6F700F8}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe | 
"{44E3F3DA-D2F3-46F4-954A-4CD56F505E7E}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe | 
"{490456ED-EB03-470D-9C97-012DA0770BDC}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe | 
"{4974A401-2913-4506-A192-C6AD02CF9B54}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{4F3FEE38-C2D0-4D30-8B9F-9EE0AD0BE454}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\farcry2.exe | 
"{54C8060C-5DBE-415A-BB2A-99EE0B1852B9}" = protocol=6 | dir=out | app=system | 
"{5B46585A-C0E7-4CCB-82FE-0B402D6E2D8A}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe | 
"{5C5D76A8-3840-4349-97B5-C5C189D9C722}" = dir=in | app=c:\program files\homecinema\powerdvd9\powerdvd9.exe | 
"{6005E31F-0DF9-453F-894F-FE032FF081E2}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{7AE88E64-D590-42B0-B78B-08B53000C33C}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2launcher.exe | 
"{82F28977-1B88-4545-B26F-D74F19B5107E}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{840B1A12-A2F0-451F-8394-6F43BADC8693}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{872BFDBD-73DE-464E-9714-107F622BAF67}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2launcher.exe | 
"{8D80EAC8-D8E8-425F-AD11-CB86D9E324F6}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{92DF2F87-B549-4D25-917F-180FA57645E9}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{BC5E5F93-9952-4FC2-9AC0-D54FA76D9DEA}" = protocol=6 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2editor.exe | 
"{BDA30BF2-C41B-43AB-98ED-F5E0CEBCFB9F}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe | 
"{C49F58AC-3143-4F50-9C47-73E9923F78B8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{CAC1A2DB-443E-4BB2-9FC9-A7E99052CE13}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{D2FD3772-8B0B-4338-93AA-50DC22EB9C2A}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{DB439CDC-98C3-4300-BD7B-B9FA85D8379F}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{DD8699CF-D07C-4A7E-B272-CC698FF89D20}" = protocol=17 | dir=in | app=c:\program files\ubisoft\far cry 2\bin\fc2editor.exe | 
"{E42FAF10-3950-45BA-9805-051C42F9A79F}" = protocol=1 | dir=in | app=c:\program files\sisoftware\sisoftware sandra lite 2010.sp2\wnt500x86\rpcsandrasrv.exe | 
"{E9E7F8AE-27AB-4189-AB03-6E5695363BB1}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{EBF14ACB-6D85-4591-B848-181E16808712}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{EF16F251-8A11-416B-ADFE-7506CDBEF785}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base15405\sc2.exe | 
"{EF726F34-CDC1-4528-9036-7F94BFE6B67A}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F3E305A9-FFC5-48AE-95EF-5DC9A7D1DDE6}" = protocol=17 | dir=in | app=c:\program files\vuze\azureus.exe | 
"TCP Query User{039106B9-D5B6-48A0-A1AF-3EEC50C17A3E}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"TCP Query User{12540095-5F8D-49A3-A57F-EFC98CCD7FF3}C:\program files\vectorworks arch 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks arch 2008\vectorworks2008.exe | 
"TCP Query User{208CDD6D-75C9-408C-96A8-9B34A2A8126C}C:\program files\starcraft ii\versions\base16561\sc2.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base16561\sc2.exe | 
"TCP Query User{21A6E2F7-ACED-473C-A9ED-74F9DE4AF0A5}C:\program files\vectorworks pro 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks pro 2008\vectorworks2008.exe | 
"TCP Query User{719FD123-A4E0-462A-A771-7863CC8B234D}C:\program files\counter-strike 1.6\hl.exe" = protocol=6 | dir=in | app=c:\program files\counter-strike 1.6\hl.exe | 
"TCP Query User{82C0022F-642A-4B8A-B59E-235D8C0412CB}C:\program files\starcraft ii\support\blizzarddownloader.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\support\blizzarddownloader.exe | 
"TCP Query User{84BD36FA-EB20-4B51-8872-FFCA3C8B5031}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe | 
"TCP Query User{8ED46D80-AB2C-449C-8582-FD0FF5C87E5E}C:\program files\vectorworks 12.5.1\vectorworks.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks 12.5.1\vectorworks.exe | 
"TCP Query User{9973ED3E-EADB-460B-AD6B-9D4A8ACB0FBE}C:\program files\vectorworks basic 2008\vectorworks2008.exe" = protocol=6 | dir=in | app=c:\program files\vectorworks basic 2008\vectorworks2008.exe | 
"TCP Query User{A06A008E-9D54-476D-ADA6-CB9663D3E65A}C:\program files\starcraft ii\versions\base16605\sc2.exe" = protocol=6 | dir=in | app=c:\program files\starcraft ii\versions\base16605\sc2.exe | 
"TCP Query User{A9D8B6B1-C479-487A-AA1F-7BE59AC19B63}C:\program files\vuze\azureus.exe" = protocol=6 | dir=in | app=c:\program files\vuze\azureus.exe | 
"TCP Query User{ED884EB5-74E8-4378-B4A5-32BBB52990E9}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{01FF2A5A-32BD-4BE0-9DF1-0D2D9BDFE53B}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe | 
"UDP Query User{25BA1FBA-FB0E-4A5E-A410-1C6A793ED50C}C:\program files\vectorworks basic 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks basic 2008\vectorworks2008.exe | 
"UDP Query User{281454E2-9FEF-49FB-88A5-BF6AC8609BB8}C:\program files\vectorworks pro 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks pro 2008\vectorworks2008.exe | 
"UDP Query User{2BCADCB9-224E-47E6-A0B1-A936E6BE6C17}C:\program files\counter-strike 1.6\hl.exe" = protocol=17 | dir=in | app=c:\program files\counter-strike 1.6\hl.exe | 
"UDP Query User{51E47603-72C4-4D06-ACC6-DF7D81D2425D}C:\program files\vectorworks arch 2008\vectorworks2008.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks arch 2008\vectorworks2008.exe | 
"UDP Query User{52151909-4805-4527-958B-D3A7574CFF2B}C:\program files\vuze\azureus.exe" = protocol=17 | dir=in | app=c:\program files\vuze\azureus.exe | 
"UDP Query User{6B1CEF91-AC99-4436-91EF-D5030AB31C68}C:\program files\starcraft ii\versions\base16605\sc2.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base16605\sc2.exe | 
"UDP Query User{6B870403-D94B-425A-BD0F-7481A13C7D6C}C:\program files\vectorworks 12.5.1\vectorworks.exe" = protocol=17 | dir=in | app=c:\program files\vectorworks 12.5.1\vectorworks.exe | 
"UDP Query User{854142A6-9FC1-4013-873B-14851C70EB69}C:\program files\starcraft ii\support\blizzarddownloader.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\support\blizzarddownloader.exe | 
"UDP Query User{B25C744B-F5BF-40EF-9824-EA959E3AD680}C:\program files\starcraft ii\versions\base16561\sc2.exe" = protocol=17 | dir=in | app=c:\program files\starcraft ii\versions\base16561\sc2.exe | 
"UDP Query User{BF514C1C-8B65-4AD2-8C9E-FFD0E1B502AD}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"UDP Query User{FE6FAEDF-172E-4113-A45F-8526FABD6A60}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"_{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0886900B-B2F3-452C-B580-60F1253F7F80}" = Native Instruments Controller Editor
"{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3600_series" = Canon iP3600 series Printer Driver
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4200" = Canon iP4200
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series" = Canon iP4500 series
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series" = Canon iP4700 series Printer Driver
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{42F7C377-2A1F-44FB-A17F-053C29E81031}" = Nero 7 Ultra Edition
"{4A9849CA-E11C-4F24-8BB1-97C717A1C898}" = LightScribe System Software
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7655E113-C306-11D9-A373-0050BAE317E1}" = MCE Software Encoder 1.1
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}" = DE
"{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}" = CyberLink PowerDVD 9
"{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}" = Apple Application Support
"{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B74D4E10-6884-0000-0000-000000000101}" = Adobe Bridge 1.0
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{BAC80EF3-E106-4AEA-8C57-F217F9BC7358}" = Microsoft SQL Server 2005 Compact Edition [DEU]
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2296}_is1" = SiSoftware Sandra Lite 2010.SP2
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"{DD1865F0-AD73-40FB-B23E-1822E02396FF}" = NVIDIA PhysX
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E1C256F5-58C6-44E9-939A-E1189C8126E2}" = Google SketchUp Pro 7
"{E3D04529-6EDB-11D8-A372-0050BAE317E1}" = CyberLink PowerDVD Copy
"{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0
"{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2835483-37F2-4123-B4FE-0E77D58447F2}" = Far Cry 2
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"8461-7759-5462-8226" = Vuze
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Ad-Aware" = Ad-Aware
"Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP4700 series Benutzerregistrierung" = Canon iP4700 series Benutzerregistrierung
"Cheat Engine 5.6_is1" = Cheat Engine 5.6
"Counter-Strike 1.6_is1" = Counter-Strike 1.6
"DVD Shrink_is1" = DVD Shrink 3.2
"EPSON Scanner" = EPSON Scan
"ERUNT_is1" = ERUNT 1.1j
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}" = CyberLink PowerDVD 9
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup" = MozBackup 1.4.9
"Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"Native Instruments Controller Editor" = Native Instruments Controller Editor
"Native Instruments Service Center" = Native Instruments Service Center
"NVIDIA Drivers" = NVIDIA Drivers
"pdfsam" = pdfsam
"PKR" = PKR
"StarCraft II" = StarCraft II
"Timers" = Timers
"Uninstall_is1" = Uninstall 1.0.0.1
"VectorWorks Architektur 2008 SP1 R1" = VectorWorks Architektur 2008 SP1 R1
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp (remove only)
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR archiver
"winscp3_is1" = WinSCP 4.2.7
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Facebook Plug-In" = Facebook Plug-In
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 07.10.2010 09:43:32 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.10.2010 09:45:17 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.10.2010 12:55:37 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.10.2010 13:35:46 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.10.2010 13:49:59 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.10.2010 13:53:50 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.10.2010 14:01:10 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 08.10.2010 07:03:44 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 08.10.2010 17:55:30 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
Error - 09.10.2010 05:35:43 | Computer Name = **** | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = DCOM | ID = 10005
Description = 
 
Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = Service Control Manager | ID = 7009
Description = 
 
Error - 22.08.2010 05:54:15 | Computer Name = **** | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 25.08.2010 04:22:09 | Computer Name = **** | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 25.08.2010 09:59:02 | Computer Name = **** | Source = bowser | ID = 8003
Description = 
 
Error - 26.08.2010 07:33:09 | Computer Name = **** | Source = Print | ID = 6161
Description = Das Dokument Aktionshof Renderworkswm.jpg im Besitz von *** konnte
 nicht auf dem Drucker Canon iP4500 series gedruckt werden. Versuchen Sie erneut,
 das Dokument zu drucken, oder starten Sie den Druckspooler erneut.   Datentyp: NT
 EMF 1.008. Größe der Spooldatei in Bytes: 25964616. Anzahl der gedruckten Bytes:
 25964504. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten:
 1. Clientcomputer: \\****. Vom Druckprozessor zurückgegebener Win32-Fehlercode:
 32. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
 verwendet wird.  
 
Error - 26.08.2010 08:42:13 | Computer Name = **** | Source = Print | ID = 6161
Description = Das Dokument Unbenannt-1 im Besitz von *** konnte nicht auf dem Drucker
 Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken,
 oder starten Sie den Druckspooler erneut.   Datentyp: NT EMF 1.008. Größe der Spooldatei
 in Bytes: 6503584. Anzahl der gedruckten Bytes: 6503504. Gesamtanzahl der Seiten
 des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom 
Druckprozessor zurückgegebener Win32-Fehlercode: 0. Der Vorgang wurde erfolgreich
 beendet.  
 
Error - 26.08.2010 08:43:14 | Computer Name = **** | Source = Print | ID = 6161
Description = Das Dokument Unbenannt-1 im Besitz von *** konnte nicht auf dem Drucker
 Canon iP4500 series gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken,
 oder starten Sie den Druckspooler erneut.   Datentyp: NT EMF 1.008. Größe der Spooldatei
 in Bytes: 7471104. Anzahl der gedruckten Bytes: 6503504. Gesamtanzahl der Seiten
 des Dokuments: 1. Anzahl der gedruckten Seiten: 1. Clientcomputer: \\****. Vom 
Druckprozessor zurückgegebener Win32-Fehlercode: 259. Es sind keine Daten mehr verfügbar.

 
Error - 28.08.2010 16:44:12 | Computer Name = **** | Source = Service Control Manager | ID = 7011
Description = 
 
Error - 31.08.2010 14:40:39 | Computer Name = **** | Source = Service Control Manager | ID = 7034
Description = 
 
 
< End of report >
         

Alt 09.10.2010, 20:52   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Kein problem, hast ja nichts kaputtgemacht

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [chkdlace] C:\Users\***\AppData\Local\Temp\hdwwicpl.DLL File not found
O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\AutoRun\command - "" = b00ijwpu.exe
O33 - MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\Shell\open\Command - "" = b00ijwpu.exe
O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\AutoRun\command - "" = lcw.exe
O33 - MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\Shell\open\Command - "" = lcw.exe
[2010.10.05 20:04:26 | 000,000,000 | -H-D | C] -- C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF}
[2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Yvew
[2010.09.22 23:57:10 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Uhso
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.10.2010, 01:58   #13
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



YEAH die Meldung is weg! Ihr seid der Hammer

hier die logfile:

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\chkdlace deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found.
File b00ijwpu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28b4dd98-4eab-11df-8f55-00242178ace4}\ not found.
File b00ijwpu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8874519-4881-11df-adda-00242178ace4}\ not found.
File lcw.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8874519-4881-11df-adda-00242178ace4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8874519-4881-11df-adda-00242178ace4}\ not found.
File lcw.exe not found.
C:\ProgramData\{437292BE-95BD-4B12-B699-6D217A03ACAF} folder moved successfully.
Folder C:\Users\***\AppData\Roaming\Yvew\ not found.
Folder C:\Users\***\AppData\Roaming\Uhso\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: ***
->Temp folder emptied: 186318 bytes
->Temporary Internet Files folder emptied: 228972 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 82243803 bytes
->Flash cache emptied: 3599 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 824 bytes
RecycleBin emptied: 62758 bytes
 
Total Files Cleaned = 79,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10102010_025141

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
rechner wurde neu gestartet ^^




gibts noch was zu tun?

Alt 10.10.2010, 19:16   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2010, 23:54   #15
seit10jahren
 
30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Standard

30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe



die zip.datei ist hochgeladen

Antwort

Themen zu 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe
100%, ad-aware, aktiv, antivir, aufrufe, autostart, bluescreen, dateien, desktop, dll, explorer, fehler, festgestellt, file, local\temp, log-files, malwarebytes, microsoft, modul, problem, programdata, programme, ratlos, required, rundll, rundll32.exe, software, temp, temp-ordner, treiber, trojan.zbotr.gen, trojaner, trojaner gefunden



Ähnliche Themen: 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe


  1. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "EXP/CVE-2011-3402' [exploit]" heute gefunden und (bereits länger) "Server ist ausgelastet" Meldung
    Log-Analyse und Auswertung - 17.12.2013 (3)
  4. "Win32/Small.ca Virus sollte entfernt werden" taucht in der taskleiste auf, Bluescreen bei GMER
    Log-Analyse und Auswertung - 01.08.2013 (11)
  5. habe Malewarebytes,TDSS Killer,OTL und gmer vom Laptop Entfernt und danach ein avira fund ""EXP/JS.Expack.EB" gemacht
    Mülltonne - 05.02.2013 (1)
  6. Bekomme Meldung "Troj/JSRedir-HZ" und "MW:JS:JJ677"
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (42)
  7. "BKA Trojaner"/ abgesicherter Modus - Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  8. Trojaner - Meldung "Warten bis die Verbindung hergestellt wird"
    Log-Analyse und Auswertung - 29.05.2012 (1)
  9. Meldung "PUP.Dealio" und "Adware.WidgiToolbar" durch MBAM
    Log-Analyse und Auswertung - 01.09.2011 (31)
  10. "Malware Protection" entfernt und nun "Windows Vista Restore" und diverse Festplattenwarnungen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (28)
  11. "Stutter.X,"Windows XP recovery"-Aufforderung, "Festplatte beschädigt"-Meldung, Bildschrim schwarz,
    Log-Analyse und Auswertung - 28.05.2011 (20)
  12. Hatte Trojaner, habe ihn entfernt. AntiVir bringt jetzt Meldung "verstecktes Objekt" = Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (21)
  13. Fehlende Adminrechte - "Keine ausreichende Berechtigung, um auf Elemente zugreifen zu könnnen."
    Plagegeister aller Art und deren Bekämpfung - 17.11.2010 (55)
  14. Meldung "Pc wird in Kürze heruntergefahren"(Trojaner) und TR/Dldr.Adload.rsc
    Plagegeister aller Art und deren Bekämpfung - 07.07.2010 (1)
  15. Werbung + Fehlende Funktionen bei "Symstemsteuerung --> Anzeige"
    Log-Analyse und Auswertung - 11.07.2008 (2)
  16. Popupfenster "Test", Meldung "Static", will Update
    Plagegeister aller Art und deren Bekämpfung - 12.10.2007 (10)
  17. HIIFE: Meldung "Veränderung im Startmenü - Dialer?" Wer kennt diese Meldung?
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (3)

Zum Thema 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe - Hallo Liebe Helfer! Vor paar Tagen hab ich festgestellt, dass der 30Tan-Deutsche-Bank Trojaner auch auf unseren Vista-Medion-Rechner gelangt ist. Da Antivir nichts feststellen konnte, hab ich es mit Ad-Aware versucht, - 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe...
Archiv
Du betrachtest: 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.