| |
| |||||||
Log-Analyse und Auswertung: Weiß nicht, was los ist, vielleicht Rootkit?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
20.10.2010, 09:12
| #1 |
 |  Weiß nicht, was los ist, vielleicht Rootkit? Hallo, mein Problem ist, dass die W-Lan-Verbindung seltsamerweise immer ein rotes Kreuzchen hat und keine Drahtlosnetzwerke anzeigt, obwohl ich verbunden bin. Desweiteren habe ich immer mehr Upload als Download, was ich nicht ganz nachvollziehen kann. Außerdem beinhaltet mein DNS-Cache seltsame Einträge. Steckt hier vielleicht ein Rootkit hinter?? Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:49:51, on 20.10.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cmd.exe C:\Programme\85fc45ba\1ef5c90b\3d5ac35.exe ;Das ist HijackThis. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von ***** O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: CBAbzockschutz.InitToolbarBHO - {2e250b90-0e7a-42a3-9d65-e39f9f227fa4} - mscoree.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: COMPUTERBILD-Abzockschutz - {353e2a48-6254-4bd3-88f4-3b51a0ca7870} - mscoree.dll (file missing) O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] REM "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] REM "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265926033312 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234003264625 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe -- End of file - 4330 bytes Code:
ATTFilter C:\Dokumente und Einstellungen\*****>ipconfig /displaydns
Windows-IP-Konfiguration
test-rezepte.de
----------------------------------------
Eintragsname. . . . . : test-rezepte.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
tatto-vorlagen.de.be
----------------------------------------
Eintragsname. . . . . : tatto-vorlagen.de.be
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
sexy-beast.com
----------------------------------------
Eintragsname. . . . . : sexy-beast.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
malvorlagen-huebsche.de
----------------------------------------
Eintragsname. . . . . : malvorlagen-huebsche.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
live-online-girls.com
----------------------------------------
Eintragsname. . . . . : live-online-girls.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
klingeltoene-nokia.de.vu
----------------------------------------
Eintragsname. . . . . : klingeltoene-nokia.de.vu
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
iqtest24.com
----------------------------------------
Eintragsname. . . . . : iqtest24.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
horoskope-web.com
----------------------------------------
Eintragsname. . . . . : horoskope-web.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
freedom2004.us
----------------------------------------
Eintragsname. . . . . : freedom2004.us
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
erotisches-gedicht.de
----------------------------------------
Eintragsname. . . . . : erotisches-gedicht.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
erfolgsrezept.de.nr
----------------------------------------
Eintragsname. . . . . : erfolgsrezept.de.nr
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
cliparts100.de
----------------------------------------
Eintragsname. . . . . : cliparts100.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
christkindl.com
----------------------------------------
Eintragsname. . . . . : christkindl.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
autogrammadressen-3.de
----------------------------------------
Eintragsname. . . . . : autogrammadressen-3.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
animegirlz.de
----------------------------------------
Eintragsname. . . . . : animegirlz.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
alle-tierheime-aktuell.net
----------------------------------------
Eintragsname. . . . . : alle-tierheime-aktuell.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
win-amp-download.de
----------------------------------------
Eintragsname. . . . . : win-amp-download.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
referate-leistungskurse.de
----------------------------------------
Eintragsname. . . . . : referate-leistungskurse.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
hacker-daten.de
----------------------------------------
Eintragsname. . . . . : hacker-daten.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
grokster.de
----------------------------------------
Eintragsname. . . . . : grokster.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
profi-beats.de
----------------------------------------
Eintragsname. . . . . : profi-beats.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ferienwohnung-seeber.de
----------------------------------------
Eintragsname. . . . . : ferienwohnung-seeber.de
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
www.buttandass.net
----------------------------------------
Eintragsname. . . . . : www.buttandass.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
tisall.info
----------------------------------------
Eintragsname. . . . . : tisall.info
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 564696
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
videostore.gammae.com
----------------------------------------
Abschnitt . . . . . . : Antwort
C:\Dokumente und Einstellungen\*****>
|
|
20.10.2010, 09:19
| #2 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Hab jetzt noch mal ipconfig /flushdns durchgeführt, jetzt ist das rote Kreuzchen zwar weg, aber ich habe immer noch 6.336 gesendete Pakete und 5.218 empfangene, wobei erstere immer rapide zunehmen.
__________________ |
|
20.10.2010, 09:20
| #3 |
  | Weiß nicht, was los ist, vielleicht Rootkit? Hi,
__________________Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris
__________________ |
|
20.10.2010, 10:21
| #4 |
| | Weiß nicht, was los ist, vielleicht Rootkit?Code:
ATTFilter OTL logfile created on: 20.10.2010 10:25:23 - Run 1 OTL by OldTimer - Version 3.2.16.0 Folder = C:\Dokumente und Einstellungen\*****\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18241) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 957,00 Mb Total Physical Memory | 555,00 Mb Available Physical Memory | 58,00% Memory free 3,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): [Binary data over 100 bytes] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 26,80 Gb Total Space | 7,17 Gb Free Space | 26,73% Space Free | Partition Type: NTFS Drive E: | 13,68 Gb Total Space | 11,62 Gb Free Space | 84,90% Space Free | Partition Type: NTFS Drive F: | 34,04 Gb Total Space | 32,66 Gb Free Space | 95,97% Space Free | Partition Type: NTFS Computer Name: ***** | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe (Google Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (XAMPP) -- C:\xampp\service.exe File not found SRV - (shoddybattle) -- C:\Programme\Shoddy Battle Server\bin\wrapper.exe File not found SRV - (MySql) -- C:\xampp\mysql\bin\mysqld-nt.exe File not found SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe File not found SRV - (FileZilla Server) -- C:\xampp\filezillaftp\filezillaserver.exe File not found SRV - (Apache2.2) -- C:\xampp\apache\bin\apache.exe File not found SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (StarWindService) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (Rocket Division Software) SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (PLCMPR5) -- C:\WINDOWS\System32\PLCMPR5.SYS File not found DRV - (BDRsDrv) -- C:\Programme\Softwin\BitDefender10\bdrsdrv.sys File not found DRV - (BDFsDrv) -- C:\Programme\Softwin\BitDefender10\bdfsdrv.sys File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (CE9500) CE9500.Sys (Enh) -- C:\WINDOWS\system32\drivers\ce9500enh.sys (Intel Corporation) DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (SiSkp) -- C:\WINDOWS\system32\drivers\srvkp.sys (Silicon Integrated Systems Corporation) DRV - (SiS315) -- C:\WINDOWS\system32\drivers\sisgrp.sys (Silicon Integrated Systems Corporation) DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.) DRV - (SiSGbeXP) -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys (Silicon Integrated Systems Corp.) DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (PLCNDIS5) -- C:\WINDOWS\system32\PLCNDIS5.SYS (Intellon, Inc.) DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.) DRV - (Vax347b) -- C:\WINDOWS\system32\DRIVERS\Vax347b.sys ( ) DRV - (ElbyDelay) -- C:\WINDOWS\system32\drivers\ElbyDelay.sys (Elaborate Bytes AG) DRV - (i81x) -- C:\WINDOWS\system32\drivers\i81xnt5.sys (Intel(R) Corporation) DRV - (PQNTDrv) -- C:\WINDOWS\System32\drivers\PQNTDRV.sys (PowerQuest Corporation) DRV - (Vax347s) -- C:\WINDOWS\System32\Drivers\Vax347s.sys ( ) DRV - (ovt519) -- C:\WINDOWS\system32\drivers\ov519vid.sys (OmniVision Technologies, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official" FF - prefs.js..extensions.enabledItems: aging-tabs@design-noir.de:0.7.1 FF - prefs.js..extensions.enabledItems: {FF2FA6A4-B3B1-11DD-B910-6C9A55D89593}:0.31 FF - prefs.js..extensions.enabledItems: {d49175b3-3fd8-43b8-b28e-da5d47f3c398}:1.0.29 FF - prefs.js..extensions.enabledItems: {59c81df5-4b7a-477b-912d-4e0fdf64e5f2}:0.9.86 FF - prefs.js..extensions.enabledItems: ctrl-tab@design-noir.de:0.21.1 FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.4 FF - prefs.js..extensions.enabledItems: firefox@red-cog.com:2.6 FF - prefs.js..extensions.enabledItems: {c50ca3c4-5656-43c2-a061-13e717f73fc8}:3.0.8 FF - prefs.js..extensions.enabledItems: savecomplete@perlprogrammer.com:1.0.1 FF - prefs.js..extensions.enabledItems: scrapbookplus@addons.mozilla.org:1.8.17.30 FF - prefs.js..extensions.enabledItems: {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}:1.0.9 FF - prefs.js..extensions.enabledItems: {0fa2149e-bb2c-4ac2-a8d3-479599819475}:1.6.1 FF - prefs.js..extensions.enabledItems: undoclosedtabsbutton@supernova00.biz:3.5.1 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Programme\Mozilla Firefox\components FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.10.13 14:24:10 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.10.11 19:05:54 | 000,000,000 | ---D | M] [2010.10.13 14:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions [2010.10.13 14:24:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.07.22 21:31:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions [2010.07.22 21:31:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe} [2010.07.20 21:06:54 | 000,000,000 | ---D | M] (URL Fixer) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{0fa2149e-bb2c-4ac2-a8d3-479599819475} [2010.07.20 21:06:48 | 000,000,000 | ---D | M] (Flagfox) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b} [2010.05.08 23:06:45 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.05.08 23:06:29 | 000,000,000 | ---D | M] (FoxyTunes) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374} [2010.05.23 22:16:49 | 000,000,000 | ---D | M] (Stylish) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8} [2010.05.08 23:06:40 | 000,000,000 | ---D | M] (ChatZilla) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2009.07.06 10:26:18 | 000,000,000 | ---D | M] (IE Tab) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9} [2010.07.20 21:06:52 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.05.08 23:06:03 | 000,000,000 | ---D | M] (Fast Video Download (with SearchMenu)) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{c50ca3c4-5656-43c2-a061-13e717f73fc8} [2010.07.20 21:05:59 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.07.20 21:06:04 | 000,000,000 | ---D | M] (COMPUTERBILD-Abzockschutz) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{d49175b3-3fd8-43b8-b28e-da5d47f3c398} [2010.07.20 21:06:45 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8} [2008.10.24 21:18:44 | 000,000,000 | ---D | M] (CustomizeGoogle) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{fce36c1e-58d8-498a-b2a5-66ad1cedebbb} [2010.07.22 21:31:00 | 000,000,000 | ---D | M] (Bazzacuda Image Saver Plus) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\{FF2FA6A4-B3B1-11DD-B910-6C9A55D89593} [2008.08.22 18:26:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\aging-tabs@design-noir.de [2010.05.08 23:06:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\ctrl-tab@design-noir.de [2010.05.08 23:06:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\de-DE@dictionaries.addons.mozilla.org [2009.02.15 13:06:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\dlembed@aeruder.net [2010.07.22 21:31:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\extension@openitonline.com [2010.07.22 21:31:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\fastdial@telega.phpnet.us [2010.05.08 23:06:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\faviconizetab@espion.just-size.jp [2010.07.22 21:31:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\feedbar@efinke.com [2010.05.08 23:05:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\firedownload@mozilla.org [2010.07.22 21:31:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\firefox@red-cog.com [2009.07.07 11:26:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\savecomplete@perlprogrammer.com [2010.05.08 23:05:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\scrapbookplus@addons.mozilla.org [2009.07.04 14:04:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\undoclosedtabsbutton@supernova00.biz [2010.07.22 21:31:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\extension@openitonline.com\chrome [2010.07.22 21:31:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\extension@openitonline.com\components [2010.07.22 21:31:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\extensions\extension@openitonline.com\defaults [2010.07.19 22:48:35 | 000,002,115 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ua2fok02.default\searchplugins\metager.xml O1 HOSTS File: ([2010.06.12 11:42:21 | 000,724,792 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost # Diesen Eintrag NICHT ENTFERNEN O1 - Hosts: 127.0.0.1 ad.a8.net O1 - Hosts: 127.0.0.1 asy.a8ww.net O1 - Hosts: 127.0.0.1 www.abcsearcher.com # Spamdexing Microsoft.Strider O1 - Hosts: 127.0.0.1 www.abx4.com # Adware.ABXToolbar O1 - Hosts: 127.0.0.1 www.acezip.net # Win32/Adware.180Solutions O1 - Hosts: 127.0.0.1 adserver.adbunker.com O1 - Hosts: 127.0.0.1 phpadsnew.abac.com O1 - Hosts: 127.0.0.1 a.abnad.net O1 - Hosts: 127.0.0.1 b.abnad.net O1 - Hosts: 127.0.0.1 c.abnad.net # IE-SpyAd O1 - Hosts: 127.0.0.1 d.abnad.net O1 - Hosts: 127.0.0.1 e.abnad.net O1 - Hosts: 127.0.0.1 t.abnad.net O1 - Hosts: 127.0.0.1 adv.abv.bg O1 - Hosts: 127.0.0.1 bimg.abv.bg O1 - Hosts: 127.0.0.1 gtcc1.acecounter.com O1 - Hosts: 127.0.0.1 gtp1.acecounter.com O1 - Hosts: 127.0.0.1 acestats.com O1 - Hosts: 127.0.0.1 www.acestats.com O1 - Hosts: 127.0.0.1 ads.active.com O1 - Hosts: 127.0.0.1 am1.activemeter.com O1 - Hosts: 127.0.0.1 www.activemeter.com O1 - Hosts: 127.0.0.1 ads.activepower.net O1 - Hosts: 127.0.0.1 at.ad2click.nl O1 - Hosts: 20152 more lines... O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPublishingWizard = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWebServices = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoOnlinePrintsWizard = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonType = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: TaskbarNoNotification = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EditLevel = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileMenu = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: MemCheckBoxInRunDlg = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Santa Fe-Stuck.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Santa Fe-Stuck.bmp O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2009.08.03 18:13:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{3ccc95b1-12c9-11dd-8498-9ac74778ae18}\Shell\AutoRun\command - "" = F:\setupSNK.exe -- File not found O33 - MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\Shell - "" = AutoRun O33 - MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\Shell\AutoRun\command - "" = E:\pushinst.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.10.20 10:26:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes [2010.10.20 10:25:52 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.10.20 10:25:47 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.10.20 10:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.10.20 10:25:46 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.10.20 10:22:27 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe [2010.10.20 10:21:22 | 005,918,720 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\*****\Desktop\mbam-setup-1.45.exe [2010.10.20 00:07:45 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*****\Recent [2010.10.18 22:01:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\dezhex_files [2010.10.15 17:06:31 | 022,303,549 | ---- | C] (Dreambelievers ) -- C:\Dokumente und Einstellungen\*****\Desktop\Pokemon-Online-Setup.exe [2010.10.15 13:11:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\vlc [2010.10.15 13:07:35 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Programmdateien [2010.10.14 02:19:15 | 000,018,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll [2010.10.14 02:19:05 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$hf_mig$ [2010.10.14 02:19:02 | 008,503,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll [2010.10.14 01:51:07 | 011,701,704 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\*****\Desktop\windows-kb890830-v3.12.exe [2010.10.13 19:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\TTF [2010.10.11 14:14:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\chat [2010.10.11 13:46:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Pokemon Lab [2008.04.25 12:57:10 | 000,159,616 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\Vax347b.sys [2008.04.25 12:57:10 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\Vax347s.sys [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.10.20 10:25:56 | 000,000,679 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.20 10:23:38 | 005,918,720 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\*****\Desktop\mbam-setup-1.45.exe [2010.10.20 10:23:33 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe [2010.10.19 23:57:41 | 000,160,354 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\mob14_1186133540.jpg [2010.10.19 23:57:41 | 000,006,805 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\.recently-used.xbel [2010.10.19 22:40:08 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.10.19 22:40:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.10.19 22:40:05 | 1003,663,360 | -HS- | M] () -- C:\hiberfil.sys [2010.10.18 14:09:15 | 000,012,820 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\bewerbung-EWV.odt [2010.10.18 14:09:06 | 000,134,374 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Lebenslauf.odt [2010.10.18 12:52:02 | 001,530,626 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Deckblatt-SanGob.odt [2010.10.18 12:51:05 | 001,517,147 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Colorful_bottle.jpg [2010.10.18 12:46:48 | 000,012,718 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\bewerbung-SIG.odt [2010.10.18 12:45:48 | 000,013,459 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\bewerbung-SanGob.odt [2010.10.18 12:27:44 | 000,071,666 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Farm_Barns_with_Electricity_Pylon_-_geograph.org.uk_-_215879.jpg [2010.10.18 12:26:47 | 000,013,399 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Deckblatt-EVW.odt [2010.10.18 12:19:32 | 000,030,230 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Deckblatt-SIG.odt [2010.10.18 11:56:54 | 000,016,913 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\tetra.gif [2010.10.18 11:40:32 | 000,006,139 | R--- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\BEWERBUNG - RESERVE.html [2010.10.15 17:19:02 | 000,000,587 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Pokemon Online.lnk [2010.10.15 17:15:21 | 022,303,549 | ---- | M] (Dreambelievers ) -- C:\Dokumente und Einstellungen\*****\Desktop\Pokemon-Online-Setup.exe [2010.10.15 13:07:55 | 000,000,694 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.10.14 22:21:02 | 001,586,665 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Marius_small.png [2010.10.14 20:51:43 | 010,143,834 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Marius.png [2010.10.14 19:00:03 | 000,003,584 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.10.14 01:55:44 | 011,701,704 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\*****\Desktop\windows-kb890830-v3.12.exe [2010.10.13 23:07:29 | 014,651,569 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Respekt_2010_MP3s.zip [2010.10.13 19:50:17 | 001,496,104 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.10.13 16:37:50 | 001,801,777 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\CIMG0035.JPG [2010.10.13 14:06:56 | 000,014,435 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\RELIGION2.odt [2010.10.13 13:31:36 | 000,017,935 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Wirtschaftskreislauf_Soz_Marktwirtschaft.odg [2010.10.13 13:27:10 | 000,052,622 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\owards.prc_show.gif [2010.10.11 19:05:54 | 000,001,712 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.10.11 13:46:46 | 000,001,941 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Pokemon Lab.lnk [2010.10.01 17:51:02 | 000,013,890 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\JR-Protokoll_206.odt [2010.09.26 10:49:11 | 000,011,439 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\UNTERLAGEN_FINANZAMT.odt [2010.09.23 19:26:48 | 000,061,700 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\FERTIGUNG_BWL_2.pdf [2010.09.23 19:18:48 | 000,015,333 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\FERTIGUNG_BWL.odt [2010.09.23 18:27:29 | 000,000,126 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\minus.bmp [2010.09.23 18:25:59 | 000,000,126 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\plus.bmp [2010.09.22 21:02:05 | 000,012,032 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Bewerbung7.odt [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.10.20 10:25:56 | 000,000,679 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.19 23:57:41 | 000,006,805 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\.recently-used.xbel [2010.10.19 23:48:36 | 000,160,354 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\mob14_1186133540.jpg [2010.10.18 12:52:01 | 001,530,626 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Deckblatt-SanGob.odt [2010.10.18 12:51:05 | 001,517,147 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Colorful_bottle.jpg [2010.10.18 12:45:47 | 000,013,459 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\bewerbung-SanGob.odt [2010.10.18 12:27:44 | 000,071,666 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Farm_Barns_with_Electricity_Pylon_-_geograph.org.uk_-_215879.jpg [2010.10.18 12:26:44 | 000,013,399 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Deckblatt-EVW.odt [2010.10.18 12:19:32 | 000,030,230 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Deckblatt-SIG.odt [2010.10.18 12:19:17 | 000,012,820 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\bewerbung-EWV.odt [2010.10.18 12:04:30 | 000,012,718 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\bewerbung-SIG.odt [2010.10.18 11:51:52 | 000,016,913 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\tetra.gif [2010.10.18 11:36:16 | 000,006,139 | R--- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\BEWERBUNG - RESERVE.html [2010.10.15 17:19:02 | 000,000,587 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Pokemon Online.lnk [2010.10.15 13:07:55 | 000,000,694 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.10.14 22:20:53 | 001,586,665 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Marius_small.png [2010.10.14 20:50:22 | 010,143,834 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Marius.png [2010.10.14 19:00:12 | 001,801,777 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\CIMG0035.JPG [2010.10.13 23:02:12 | 014,651,569 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Respekt_2010_MP3s.zip [2010.10.13 13:27:10 | 000,052,622 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\owards.prc_show.gif [2010.10.11 19:05:54 | 000,001,712 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.10.11 13:46:46 | 000,001,941 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Pokemon Lab.lnk [2010.09.30 20:51:23 | 000,013,890 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\JR-Protokoll_206.odt [2010.09.26 13:50:32 | 000,017,935 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Wirtschaftskreislauf_Soz_Marktwirtschaft.odg [2010.09.25 16:07:21 | 000,011,439 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\UNTERLAGEN_FINANZAMT.odt [2010.09.23 20:05:28 | 000,014,435 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\RELIGION2.odt [2010.09.23 19:24:05 | 000,061,700 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\FERTIGUNG_BWL_2.pdf [2010.09.23 18:27:29 | 000,000,126 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\minus.bmp [2010.09.23 18:10:02 | 000,000,126 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\plus.bmp [2010.09.22 20:54:37 | 000,012,032 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Bewerbung7.odt [2010.03.31 10:30:48 | 000,443,432 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.02.12 17:40:39 | 000,000,113 | ---- | C] () -- C:\WINDOWS\Podcasts.INI [2010.02.11 22:48:52 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.12.24 17:20:09 | 000,000,043 | -HS- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\.zreglib [2009.07.08 11:08:33 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\rmc_rtspdl.dll [2009.07.05 21:10:02 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.07.05 13:57:20 | 001,732,518 | ---- | C] () -- C:\WINDOWS\System32\libgsl.dll [2009.07.05 13:57:20 | 000,243,671 | ---- | C] () -- C:\WINDOWS\System32\libgslcblas.dll [2009.05.01 13:56:54 | 001,032,582 | ---- | C] () -- C:\WINDOWS\System32\alleg42.dll [2008.12.01 20:46:07 | 000,000,014 | ---- | C] () -- C:\WINDOWS\System32\systeminfo.dll [2008.12.01 20:45:03 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll [2008.11.07 20:24:03 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\CDA322DA3A.sys [2008.08.16 13:53:37 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2008.08.03 11:14:03 | 000,068,096 | ---- | C] () -- C:\WINDOWS\System32\lfplt11n.dll [2008.08.03 11:13:58 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\lffpx7.dll [2008.08.03 11:13:58 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL [2008.08.03 11:13:26 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\iplCubePX.dll [2008.08.03 11:13:26 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\iplCubeA6.dll [2008.08.03 11:13:26 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\iplCubeM6.dll [2008.08.03 11:13:26 | 000,184,320 | ---- | C] () -- C:\WINDOWS\System32\iplCubeP6.dll [2008.08.03 11:13:26 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\iplCubeM5.dll [2008.08.03 11:13:26 | 000,176,128 | ---- | C] () -- C:\WINDOWS\System32\iplCubeP5.dll [2008.08.03 11:13:26 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\iplCube.dll [2008.08.03 11:13:25 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\Cpuinf32.dll [2008.08.02 21:00:00 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini [2008.07.06 19:18:46 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\Filzip.ini [2008.06.21 11:39:23 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2008.06.14 18:05:01 | 000,000,049 | ---- | C] () -- C:\WINDOWS\System32\polynet.dll [2008.06.11 02:07:20 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2008.05.10 10:01:04 | 000,001,682 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2008.05.08 21:00:22 | 000,000,121 | ---- | C] () -- C:\WINDOWS\Winchat.ini [2008.04.27 13:10:04 | 000,092,983 | ---- | C] () -- C:\WINDOWS\VGAsetup.ini [2008.04.27 13:09:10 | 000,128,451 | ---- | C] () -- C:\WINDOWS\System32\VGAunistlog.ini [2008.04.25 13:28:02 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\$_hpcst$.hpc [2008.04.25 12:57:21 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll [2007.02.05 15:48:36 | 000,016,828 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini [2007.02.05 15:48:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini [2007.02.05 15:48:28 | 000,016,562 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini [2006.06.01 21:06:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2005.08.30 01:00:00 | 000,781,312 | ---- | C] () -- C:\WINDOWS\System32\RGSS102J.dll [2005.08.30 01:00:00 | 000,771,584 | ---- | C] () -- C:\WINDOWS\System32\RGSS100J.dll < End of report > Code:
ATTFilter OTL Extras logfile created on: 20.10.2010 10:25:23 - Run 1
OTL by OldTimer - Version 3.2.16.0 Folder = C:\Dokumente und Einstellungen\*****\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18241)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
957,00 Mb Total Physical Memory | 555,00 Mb Available Physical Memory | 58,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): [Binary data over 100 bytes]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 26,80 Gb Total Space | 7,17 Gb Free Space | 26,73% Space Free | Partition Type: NTFS
Drive E: | 13,68 Gb Total Space | 11,62 Gb Free Space | 84,90% Space Free | Partition Type: NTFS
Drive F: | 34,04 Gb Total Space | 32,66 Gb Free Space | 95,97% Space Free | Partition Type: NTFS
Computer Name: ***** | User Name: ***** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe File not found
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 File not found
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" File not found
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" File not found
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Betrachten mit XnView] -- "C:\Portable\XnView\xnview.exe" "%1" (XnView, hxxp://www.xnview.com)
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [Durchsuchen mit &IrfanView] -- "C:\Portable\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- C:\WINDOWS\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- C:\WINDOWS\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 4
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"21:TCP" = 21:TCP:LocalSubNet:Enabled:filezilla: ftp
"25:TCP" = 25:TCP:LocalSubNet:Enabled:mercury: smtp
"80:TCP" = 80:TCP:LocalSubNet:Enabled:apache: http
"110:TCP" = 110:TCP:LocalSubNet:Enabled:mercury: pop3
"143:TCP" = 143:TCP:LocalSubNet:Enabled:mercury: imap
"443:TCP" = 443:TCP:LocalSubNet:Enabled:apache: https
"3306:TCP" = 3306:TCP:LocalSubNet:Enabled:mysql
"8009:TCP" = 8009:TCP:*:Enabled:AJP/1.3
"8080:TCP" = 8080:TCP:LocalSubNet:Enabled:apache: http-alt
"81:TCP" = 81:TCP:LocalSubNet:Enabled:apache: webdav
"14147:TCP" = 14147:TCP:LocalSubNet:Enabled:filezilla: admin
"14591:TCP" = 14591:TCP:LocalSubNet:Enabled:Imperialimus: TCP/IP
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\usmt\migwiz.exe" = C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation)
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\Koch Media\Carcassonne CE\Carcassonne.exe" = C:\Programme\Koch Media\Carcassonne CE\Carcassonne.exe:*:Enabled:Carcassonne -- (Meridian'93)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- File not found
"C:\xampp\apache\bin\apache.exe" = C:\xampp\apache\bin\apache.exe:*:Enabled:Apache HTTP Server -- File not found
"C:\xampp\MercuryMail\mercury.exe" = C:\xampp\MercuryMail\mercury.exe:*:Enabled:Mercury/32 Core Processing Module v4.52 -- File not found
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- File not found
"C:\xampp\php\debugclient-0.9.0.exe" = C:\xampp\php\debugclient-0.9.0.exe:*:Enabled:debugclient-0.9.0 -- File not found
"C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" = C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE:*:Enabled:WEB.DE MultiMessenger -- File not found
"C:\Imperialismus\Imperialismus.exe" = C:\Imperialismus\Imperialismus.exe:*:Enabled:Imperialism -- (Frog City)
"C:\WINDOWS\system32\dplaysvr.exe" = C:\WINDOWS\system32\dplaysvr.exe:LocalSubNet:Enabled:Microsoft DirectPlay Helper -- (Microsoft Corporation)
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- File not found
"C:\Programme\Java\jre1.6.0_07\bin\javaw.exe" = C:\Programme\Java\jre1.6.0_07\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Sony\Media Manager for PSP\MediaManager.exe" = C:\Sony\Media Manager for PSP\MediaManager.exe:*:Enabled:Media Manager for PSP 3.0 -- File not found
"C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\links-0.98.exe" = C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\links-0.98.exe:*:Enabled:links-0.98 -- File not found
"E:\iTunes\iTunes.exe" = E:\iTunes\iTunes.exe:*:Enabled:iTunes -- File not found
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21DBBDD6-93A5-4326-9A04-C9A5C9148502}" = Norton PartitionMagic
"{268723B7-A994-4286-9F85-B974D5CAFC7B}" = EasyRecovery Professional
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java(TM) 6 Update 16
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2C08D7E7-9EE1-4A08-AFE0-745F02DCD6A4}_is1" = Pokemon Online 0.9.95
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{365172F8-9A61-483A-B7CD-820C19BF4528}" = ALL 1685
"{3E82F949-36E7-4B1B-8258-60EF5651C818}" = Carcassonne JuS
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5A9FE525-8B8F-4701-A937-7F6745A4E9C7}" = RGSS-RTP Standard
"{5B23E5AD-23E2-45C8-A24C-97D3A23FB6EE}" = Carcassonne CE
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PartitionMagic
"{7CC7C026-F81D-4405-9639-B157B7480D73}" = Generic Wireless LAN Driver
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-003F-0409-0000-0000000FF1CE}" = Microsoft Office Excel Viewer
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B34CAC6-738F-4A20-B428-A115C3E3474C}" = RPGXP
"{A06F5ACB-AF59-4DC0-B22E-1F6F47FC7004}" = Microsoft Reader Text-to-Speech deutsch
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B838AD63-FD0C-482C-B124-7116748BAC45}" = BootMagic
"{DC226AC9-0314-496C-BE6A-B6A132628466}" = SiSAGP driver
"{e0e56e21-55de-4f77-a109-1baa72348743}" = Python 3.0
"{E72019B8-1287-4093-BE9B-1CFA7BA1A8D2}" = Windows Desktop Search 3.01
"{E9F81423-211E-46B6-9AE0-38568BC5CF6F}" =
"{EBBB1DEF-8878-4CB8-BC0D-1196B30E7527}" = ANNO 1503
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1BFD15D-9EEC-4072-942D-240BA0B99467}" = COMPUTERBILD-Abzockschutz
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Battle for Wesnoth 1.9.0" = Battle for Wesnoth 1.9.0
"CloneCD" = CloneCD
"CloneDVD2" = CloneDVD2
"drmtool.inf" = Personal License Update Wizard for Windows Media Player
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"Frogatto" = Frogatto
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8 Beta 2
"Imperialismus" = Imperialismus
"InstallShield_{B838AD63-FD0C-482C-B124-7116748BAC45}" = PowerQuest BootMagic 8.0
"jv16 PowerTools 2009_is1" = jv16 PowerTools 2009
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"mmtitle" = Movie Maker Title Images
"Moorhuhn" = Moorhuhn
"Moorhuhn 2 deinstallieren" = Moorhuhn 2
"Moorhuhn Winter-Edition" = Moorhuhn Winter-Edition
"Mozilla Firefox (3.5.8)" = Mozilla Firefox (3.5.8)
"Mozilla Thunderbird (3.1.4)" = Mozilla Thunderbird (3.1.4)
"mpxlswiz.inf" = Windows Media Player Playlist Import to Excel Wizard
"mpxptray.inf" = Windows Media Player Tray Control
"SiS VGA Driver" = SiS VGA Utilities
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.1.4
"wa2wmp" = Windows Media Player Skin Importer
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.4
"WMFDist11" = Windows Media Format 11 runtime
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"Pokemon Lab" = Pokemon Lab
"Shoddy Battle" = Shoddy Battle
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 19.07.2010 11:17:28 | Computer Name = ***** | Source = MSDTC | ID = 4185
Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werden.
'LogInit' hat den Fehler 0x5 zurückgegebe
Error - 19.07.2010 11:17:28 | Computer Name = ***** | Source = MSDTC | ID = 4112
Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werde
Error - 19.07.2010 11:17:51 | Computer Name = ***** | Source = Remote Assistance | ID = 5251
Description = Das Hilfeassistentkonto wurde deaktiviert, ist nicht vorhanden oder
konnte nicht verifiziert werden. Die Remoteunterstützung wird deaktiviert. Starten
Sie den Computer im abgesicherten Modus und geben Sie folgenden Text in der Befehlszeile
ein: sessmgr.exe -service. Setzen Sie sich mit Microsoft Software Services in Verbindung,
falls das Problem weiterhin besteht.
Error - 20.07.2010 04:21:49 | Computer Name = ***** | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 20.07.2010 04:21:49 | Computer Name = ***** | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 20.07.2010 04:22:03 | Computer Name = ***** | Source = MSDTC | ID = 4163
Description = Die MS DTC-Protokolldatei wurde nicht gefunden. Stellen Sie sicher,
dass alle von MS DTC koordinierten Ressourcen-Manager frei von unsicheren Transaktionen
sind, und führen Sie dann "msdtc -resetlog" aus, um die Protokolldatei zu erstelle
Error - 20.07.2010 04:22:03 | Computer Name = ***** | Source = MSDTC | ID = 4185
Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werden.
'LogInit' hat den Fehler 0x5 zurückgegebe
Error - 20.07.2010 04:22:03 | Computer Name = ***** | Source = MSDTC | ID = 4112
Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werde
Error - 20.07.2010 04:22:04 | Computer Name = ***** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 20.07.2010 04:22:36 | Computer Name = ***** | Source = Remote Assistance | ID = 5251
Description = Das Hilfeassistentkonto wurde deaktiviert, ist nicht vorhanden oder
konnte nicht verifiziert werden. Die Remoteunterstützung wird deaktiviert. Starten
Sie den Computer im abgesicherten Modus und geben Sie folgenden Text in der Befehlszeile
ein: sessmgr.exe -service. Setzen Sie sich mit Microsoft Software Services in Verbindung,
falls das Problem weiterhin besteht.
[ System Events ]
Error - 15.07.2010 12:56:28 | Computer Name = ***** | Source = UPS | ID = 2481
Description = Der USV-Dienst ist nicht richtig konfiguriert.
Error - 16.07.2010 05:03:32 | Computer Name = ***** | Source = UPS | ID = 2481
Description = Der USV-Dienst ist nicht richtig konfiguriert.
Error - 18.07.2010 13:10:27 | Computer Name = ***** | Source = UPS | ID = 2481
Description = Der USV-Dienst ist nicht richtig konfiguriert.
Error - 19.07.2010 05:41:23 | Computer Name = ***** | Source = UPS | ID = 2481
Description = Der USV-Dienst ist nicht richtig konfiguriert.
Error - 19.07.2010 08:48:43 | Computer Name = ***** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
Error - 19.07.2010 09:06:25 | Computer Name = ***** | Source = Print | ID = 22
Description = Die Aktualisierung der Einstellungen für den Drucker \\*****\EPSON
Stylus DX8400 Series,1,LocalOnly Treiber C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FUICCEE.DLL
Fehler 87 ist fehlgeschlagen.
Error - 19.07.2010 09:06:25 | Computer Name = ***** | Source = Print | ID = 22
Description = Die Aktualisierung der Einstellungen für den Drucker EPSON Stylus
DX8400 Series,1 Treiber EPSON Stylus DX8400 Series Fehler 1801 ist fehlgeschlagen.
Error - 19.07.2010 11:17:55 | Computer Name = ***** | Source = UPS | ID = 2481
Description = Der USV-Dienst ist nicht richtig konfiguriert.
Error - 20.07.2010 04:22:43 | Computer Name = ***** | Source = UPS | ID = 2481
Description = Der USV-Dienst ist nicht richtig konfiguriert.
Error - 20.07.2010 06:48:43 | Computer Name = ***** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
< End of report >
Avira meldet mir gerade: Code:
ATTFilter In der Datei 'C:\Programme\Alcohol Soft\Alcohol 120\sp.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.69632.O' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Der kann noch was dauern ... |
|
20.10.2010, 10:39
| #5 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Hi, hier ein erstes Feedback, da der Rechner nach abfahren des OTL-Scripts booten wird, warten bis MAM fertig ist... JAVA Deine Javasoftware ist veraltet! Download Java-Downloads für alle Betriebssysteme Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus die neue Version! Das die Systemwiederherstellung ausgeschaltet ist, ist Absicht? "DisableSR" = 1 Fix für OTL:
 Code:
ATTFilter
:OTL
SRV - (XAMPP) -- C:\xampp\service.exe File not found
SRV - (shoddybattle) -- C:\Programme\Shoddy Battle Server\bin\wrapper.exe File not found
SRV - (MySql) -- C:\xampp\mysql\bin\mysqld-nt.exe File not found
SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe File not found
SRV - (FileZilla Server) -- C:\xampp\filezillaftp\filezillaserver.exe File not found
SRV - (Apache2.2) -- C:\xampp\apache\bin\apache.exe File not found
DRV - (PLCMPR5) -- C:\WINDOWS\System32\PLCMPR5.SYS File not found
DRV - (BDRsDrv) -- C:\Programme\Softwin\BitDefender10\bdrsdrv.sys File not found
DRV - (BDFsDrv) -- C:\Programme\Softwin\BitDefender10\bdfsdrv.sys File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O33 - MountPoints2\{3ccc95b1-12c9-11dd-8498-9ac74778ae18}\Shell\AutoRun\command - "" = F:\setupSNK.exe -- File not found
O33 - MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\Shell - "" = AutoRun
O33 - MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\Shell\AutoRun\command - "" = E:\pushinst.exe -- File not found
:Commands
[emptytemp]
[purity]
[EMPTYFLASH]
[Reboot]
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren! Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
20.10.2010, 11:23
| #6 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Java lässt sich partout nicht deinstallieren, erst einmal steht dort: Bitte warten Sie, während Windows Java(TM) 6 Update 5 konfiguriert - 0 Sekunden verbleibend und dann schließt sich der Installer und Java ist immer noch mit 140 MB in der Liste, übrigens haben die Schaltflächen meines Windows Installers keine Beschriftung mehr ... Und Malewarebytes' Anti-Malware läuft verdammt instabil, stets komplett weißer Fensterinhalt und dann mindestens drei Minuten lang Sanduhr-Cursor. |
|
20.10.2010, 12:23
| #7 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Hi, das hört sich nicht gut an... Schluß mit lustig... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Falls CF nicht läuft, im abgesicherten Modus mit Umbennenung auf z.B. "test.com" probieren... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
20.10.2010, 12:24
| #8 |
| | Weiß nicht, was los ist, vielleicht Rootkit? So, habe jetzt OTL ausgeführt, mach jetzt noch mal einen Scan mit Malewarebytes, da das sich vorhin ständig aufgehangen hat. Hier der Log von OTL, aber uninteressant ... Code:
ATTFilter All processes killed
========== OTL ==========
Service XAMPP stopped successfully!
Service XAMPP deleted successfully!
File C:\xampp\service.exe File not found not found.
Service shoddybattle stopped successfully!
Service shoddybattle deleted successfully!
File C:\Programme\Shoddy Battle Server\bin\wrapper.exe File not found not found.
Service MySql stopped successfully!
Service MySql deleted successfully!
File C:\xampp\mysql\bin\mysqld-nt.exe File not found not found.
Service Macromedia Licensing Service stopped successfully!
Service Macromedia Licensing Service deleted successfully!
File C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe File not found not found.
Service FileZilla Server stopped successfully!
Service FileZilla Server deleted successfully!
File C:\xampp\filezillaftp\filezillaserver.exe File not found not found.
Service Apache2.2 stopped successfully!
Service Apache2.2 deleted successfully!
File C:\xampp\apache\bin\apache.exe File not found not found.
Service PLCMPR5 stopped successfully!
Service PLCMPR5 deleted successfully!
File C:\WINDOWS\System32\PLCMPR5.SYS File not found not found.
Service BDRsDrv stopped successfully!
Service BDRsDrv deleted successfully!
File C:\Programme\Softwin\BitDefender10\bdrsdrv.sys File not found not found.
Service BDFsDrv stopped successfully!
Service BDFsDrv deleted successfully!
File C:\Programme\Softwin\BitDefender10\bdfsdrv.sys File not found not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE5D279F-081B-4404-994D-C6B60AAEBA6D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE5D279F-081B-4404-994D-C6B60AAEBA6D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ccc95b1-12c9-11dd-8498-9ac74778ae18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ccc95b1-12c9-11dd-8498-9ac74778ae18}\ not found.
File F:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
File E:\pushinst.exe not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33438 bytes
User: *****
->Temp folder emptied: 7015771 bytes
->Temporary Internet Files folder emptied: 4876891 bytes
->Java cache emptied: 16485180 bytes
->FireFox cache emptied: 45904915 bytes
->Google Chrome cache emptied: 279194165 bytes
->Apple Safari cache emptied: 561152 bytes
->Flash cache emptied: 4500 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 3795456 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 676685 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 344,00 mb
[EMPTYFLASH]
User: All Users
User: LocalService
User: *****
->Flash cache emptied: 0 bytes
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.16.0 log created on 10202010_130438
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
20.10.2010, 12:34
| #9 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Sry, aber weiß jemand, wie man die Autostart-Funktion von Avira AntiVir Personal unterbindet?? Beenden kann ich Avira nicht ... Code:
ATTFilter C:\Dokumente und Einstellungen\*****>taskkill /f /IM av*
FEHLER: Der Prozess "avguard.exe" mit PID 1532 konnte nicht beendet werden.
Grund: Zugriff verweigert
FEHLER: Der Prozess "avshadow.exe" mit PID 1748 konnte nicht beendet werden.
Grund: Zugriff verweigert
FEHLER: Der Prozess "avgnt.exe" mit PID 1452 konnte nicht beendet werden.
Grund: Zugriff verweigert
Geändert von Spixi (20.10.2010 um 12:43 Uhr) |
|
20.10.2010, 13:00
| #10 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Naja, irgendwie scheint MAM nichts zu finden (ist gerade bei 104982 Objekte, 0 Funde), deshalb die Frage, soll ich jetzt ComboFix im abgesicherten Modus starten, auch wenn Avira aktiv (der Guard aber aus) ist? Sry, jetzt ist MAM fertig Code:
ATTFilter Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Datenbank Version: 4888
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18241
20.10.2010 13:58:53
mbam-log-2010-10-20 (13-58-53).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 223207
Laufzeit: 42 Minute(n), 35 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
20.10.2010, 13:23
| #11 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Hi, Avira wird von CF selbstätig "abgeschaltet", lass ihn einfach von der Leine... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
20.10.2010, 18:08
| #12 |
| |  Weiß nicht, was los ist, vielleicht Rootkit? So, jetzt habe ich zwar alles durchgeführt, die Logs auf'n Stick gezogen und nun finde ich immer noch keine Drahtlosnetze mehr, mit dem Netbook aber schon ... Meine W-LAN-Karte ist Atheros AR5007 EG, der Router heißt Speedport W510v. Btw sind jetzt auch meine virtuellen DVD-Laufwerke verschwunden ... Logs: Code:
ATTFilter GMER 1.0.15.15477 - hxxp://www.gmer.net
Rootkit scan 2010-10-20 16:47:57
Windows 5.1.2600 Service Pack 3
Running: idb3y2mk.exe; Driver: C:\DOKUME~1\*****~1\LOKALE~1\Temp\pwriikod.sys
---- System - GMER 1.0.15 ----
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF738CC58]
SSDT F7B9BDB6 ZwCreateKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF7380C70]
SSDT F7B9BDAC ZwCreateThread
SSDT F7B9BDBB ZwDeleteKey
SSDT F7B9BDC5 ZwDeleteValueKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF73814FE]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF738CD50]
SSDT F7B9BDCA ZwLoadKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF738CBD4]
SSDT F7B9BD98 ZwOpenProcess
SSDT F7B9BD9D ZwOpenThread
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF738151E]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF738CCA6]
SSDT F7B9BDD4 ZwReplaceKey
SSDT F7B9BDCF ZwRestoreKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF738C4F0]
SSDT F7B9BDC0 ZwSetValueKey
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 863A9298
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\Cdrom \Device\CdRom0 861785B8
Device \FileSystem\Rdbss \Device\FsWrap 85E38680
Device \Driver\atapi \Device\Ide\IdePort0 861766B0
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 861766B0
Device \Driver\atapi \Device\Ide\IdePort1 861766B0
Device \Driver\atapi \Device\Ide\IdePort2 861766B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 861766B0
Device \Driver\Cdrom \Device\CdRom1 861785B8
Device \Driver\Cdrom \Device\CdRom2 861785B8
Device \FileSystem\Srv \Device\LanmanServer 85EBF378
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8465F468
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8465F468
Device \FileSystem\Npfs \Device\NamedPipe 85C1C158
Device \FileSystem\Msfs \Device\Mailslot 84844860
Device \Driver\Vax347s \Device\Scsi\Vax347s1 85E91528
Device \Driver\Vax347s \Device\Scsi\Vax347s1Port3Path0Target1Lun0 85E91528
Device \Driver\Vax347s \Device\Scsi\Vax347s1Port3Path0Target0Lun0 85E91528
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 847FBA58
Device \FileSystem\Cdfs \Cdfs 85F4E788
---- Modules - GMER 1.0.15 ----
Module _________ F72E2000-F72FA000 (98304 bytes)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg41
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter ComboFix 10-10-19.03 - ***** 20.10.2010 17:18:35.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.957.654 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Ijl11.dll
c:\windows\system32\Thumbs.db
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-20 bis 2010-10-20 ))))))))))))))))))))))))))))))
.
2010-10-20 15:03 . 2010-10-20 15:03 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\InstallShield
2010-10-20 11:04 . 2010-10-20 11:04 -------- d-----w- C:\_OTL
2010-10-20 10:30 . 2010-10-20 10:29 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-10-20 10:26 . 2010-10-20 10:29 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-10-20 08:26 . 2010-10-20 08:26 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2010-10-20 08:25 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 08:25 . 2010-10-20 08:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-20 08:25 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-20 08:25 . 2010-10-20 08:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-15 11:11 . 2010-10-15 11:54 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\vlc
2010-10-14 00:19 . 2010-10-14 00:19 -------- d--h--w- c:\windows\$hf_mig$
2010-10-14 00:19 . 2010-07-27 06:29 8503296 -c----w- c:\windows\system32\dllcache\shell32.dll
2010-10-11 11:46 . 2010-10-11 11:46 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Pokemon Lab
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-05-03 09:06 163328 --sha-r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sha-r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sha-r- c:\windows\system32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="REM" [X]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)
"LogonType"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPublishingWizard"= 1 (0x1)
"NoWebServices"= 1 (0x1)
"NoOnlinePrintsWizard"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DrvIcon
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Glass2k
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Radiotracker
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX8400 Series]
2007-04-12 06:00 182272 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATICEE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-07-27 15:17 133104 ----atw- c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
2007-08-03 14:07 53248 -c--a-w- c:\windows\system32\SiSPower.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-12-06 06:20 1024000 -c--a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Messenger"=2 (0x2)
"Bonjour Service"=2 (0x2)
"gupdate"=2 (0x2)
"PDSched"=3 (0x3)
"PDEngine"=3 (0x3)
"MySql"=2 (0x2)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"Apache2.2"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"XAMPP"=3 (0x3)
"wuauserv"=2 (0x2)
"MDM"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"IDriverT"=3 (0x3)
"FileZilla Server"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Koch Media\\Carcassonne CE\\Carcassonne.exe"=
"c:\\Imperialismus\\Imperialismus.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"8009:TCP"= 8009:TCP:AJP/1.3
R0 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [25.04.2008 12:57 5248]
S3 CE9500;CE9500.Sys (Enh) driver;c:\windows\system32\drivers\ce9500enh.sys [30.04.2008 09:47 172672]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.04.2008 16:58 264704]
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\PLCNDIS5.SYS [22.09.2005 00:20 17280]
S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2009 19:42 135336]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [25.04.2008 12:57 159616]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = <local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren
IE: Auswahl in Adobe PDF konvertieren
IE: Auswahl in vorhandene PDF-Datei konvertieren
IE: In Adobe PDF konvertieren
IE: In vorhandene PDF-Datei konvertieren
IE: Verknüpfungsziel in Adobe PDF konvertieren
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren
TCP: {3FA43F59-B94C-4CF4-8959-832EE1C49995} = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-AVMWlanClient - c:\programme\avmwlanstick\FRITZWLANMini.exe
AddRemove-HijackThis - c:\programme\85fc45ba\1ef5c90b\HijackThis.exe
AddRemove-InstallShield_{B838AD63-FD0C-482C-B124-7116748BAC45} - c:\progra~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
AddRemove-jv16 PowerTools 2009_is1 - e:\jv16 powertools 2009\unins000.exe
AddRemove-Mozilla Firefox (3.5.8) - c:\programme\Mozilla Firefox\uninstall\helper.exe
AddRemove-Windows Media Format Runtime - c:\programme\Windows Media Player\wmsetsdk.exe
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-484763869-884357618-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-10-20 17:24:04
ComboFix-quarantined-files.txt 2010-10-20 15:24
Vor Suchlauf: 8.183.144.448 Bytes frei
Nach Suchlauf: 8.137.064.448 Bytes frei
- - End Of File - - 3EEE2028F102AB13AEE0F16C6C9587C6
Danke im Voraus LG Spixi P. S.: Ja, den Treiber für die W-LAN-Karte habe ich mehrfach neu installiert. |
|
20.10.2010, 18:26
| #13 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Hi, nichts dabei, was einem auf den ersten Blick ins Auge sticht... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\flvDX.dll
c:\windows\system32\msfDX.dll
c:\windows\system32\nbDX.dll
C:\WINDOWS\system32\FM20ENU.DLL
Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. Spezielles OTL-Such Log: Downloade Dir bitte Rorschach's Custom Scan.txt von GeeksToGo.com und speichere diese als Scan.txt dort, wo sich auch die OTL.exe befindet. Starte nun OTL und klicke in die Custom Scans/Fixes Box. Wähle nun die zuvor gedownloadete Scan.txt aus und klicke OK. Danach klicke in OTL auf Scan. Poste bitte die OTL.txt XP-Systemdateien prüfen: sfc /scannow 1.) Start->ausführen cmd eingeben 2.) sfc /scannow eingeben 3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden (bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte) 4.) warten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
20.10.2010, 18:45
| #14 |
| | Weiß nicht, was los ist, vielleicht Rootkit?Code:
ATTFilter File name: flvDX.dll
Submission date: 2010-10-20 17:41:17 (UTC)
Current status: queued queued analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 -
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 -
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : 8453687a045c926f0291301ebaf50370
SHA1 : 8d756345c945b75ef63314fa8992f1b582067ff3
SHA256: 151afe783864d2fcbe6f954d1aef0cb1a157ae41848e2f0478217cddaad61967
Code:
ATTFilter File name: FM20ENU.DLL
Submission date: 2010-10-20 17:40:22 (UTC)
Current status: queued queued analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 -
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 -
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : 35c4aee0b4742b1ee00a68d9743b818f
SHA1 : d7b2aec3cccb089fb0b1befe2f371255d18137bd
SHA256: 6b207e59186f061232a7adbdc8dfe66d09c05d3f820c2d679943a1cfc7fd9593
Code:
ATTFilter File name: msfDX.dll
Submission date: 2010-10-20 17:40:01 (UTC)
Current status: queued queued analysing finished
Result: 2/ 43 (4.7%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 PUA.Packed.PECompact-1
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 Suspicious File
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : 21d8f42d54598b73c2e1a9571399113b
SHA1 : ed711faa61fdd6d53eacc7a99d60d95dd9137a7d
SHA256: 992e23bddfa1eaaf66cc7ccbef23596be5d2b47aa6a8272028092b4829bde784
Code:
ATTFilter File name: nbDX.dll
Submission date: 2010-10-20 17:41:44 (UTC)
Current status: queued (#1) queued (#1) analysing finished
Result: 2/ 43 (4.7%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 PUA.Packed.PECompact-1
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 Suspicious File
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : e4b6b932b6e5ce386627ceea2a0a0f4c
SHA1 : b9bcaae7bb27161148e1301fc8d8cd3f568c6e22
SHA256: a0f6231d8f48d8579be4275b95425f80cc5f703730f5f5e9f5b8748a813282f6
|
|
20.10.2010, 18:56
| #15 |
| | Weiß nicht, was los ist, vielleicht Rootkit?
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Weiß nicht, was los ist, vielleicht Rootkit? |
| 0 bytes, adobe, antivir, antivir guard, avira, bho, bonjour, desktop, download, drahtlos, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, microsoft, object, plug-in, problem, programme, rootkit, rootkit?, software, system, windows, windows internet, windows xp |
Linear-Darstellung
