Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Unbekannter Windows Dienst "WWY"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.03.2011, 19:04   #1
GoRilla42
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Hallo in die Runde,

kennt jemand von Euch den Dienst "WWY" (WinXP)?
Ich habe diesen Dienst kürzlich auf meinem PC entdeckt und kann damit nichts anfangen. Es gibt zu dem Dienst keine weiteren Informationen und auch keinen Vrweis auf irgendeine .exe...

Mein Computer läuft eigentlich soweit ganz normal ohne Zicken aber ich bin dennoch besorgt, daß ich mir da was eingefangen habe.

Scans mit Avast und Malwarebytes haben nichts ergeben.

Weiß jemand Rat?

Danke!
__________________
WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW

Alt 15.03.2011, 10:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



1.) Poste bitte alle Logs von Malwarebytes auch wenn keine Funde dabei waren!

2.) Erstell Logs mit OTL.exe und poste sie

3.) Stimmt deine Signatur noch so? XPSP2 ist völlig veraltet, das SP3 ist Pflicht. Und eine PFW (auch von Sunbelt) ist kontraproduktiv.
__________________

__________________

Alt 15.03.2011, 16:34   #3
GoRilla42
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Hallo Arne,

danke, daß du Dich meiner annimmst!

1) Malwarebyte-Logs:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6067

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.03.2011 16:58:12
mbam-log-2011-03-15 (16-58-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163520
Laufzeit: 2 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5979

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

10.03.2011 01:41:04
mbam-log-2011-03-10 (01-41-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 229606
Laufzeit: 51 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------

2) OTL-LogsOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 15.03.2011 17:04:23 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = E:\DOWNLOAD\Utilities\SECURITY
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): F:\pagefile.sys 768 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 14,65 Gb Total Space | 4,47 Gb Free Space | 30,50% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 1,25 Gb Free Space | 8,56% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 2,36 Gb Free Space | 9,68% Space Free | Partition Type: NTFS
Drive F: | 22,98 Gb Total Space | 3,35 Gb Free Space | 14,60% Space Free | Partition Type: NTFS
Drive H: | 363,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 533,75 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: HAL9000 | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - E:\DOWNLOAD\Utilities\SECURITY\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - D:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - D:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - E:\DOWNLOAD\Utilities\Proxomitron4.51-S-3.3.2\Proxomitron.exe ()
PRC - D:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe (Sunbelt Software)
PRC - D:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (Sunbelt Software)
PRC - D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - E:\DOWNLOAD\Utilities\SECURITY\OTL.exe (OldTimer Tools)
MOD - D:\Programme\Alwil Software\Avast5\snxhk.dll (AVAST Software)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (WWY) --  File not found
SRV - (Pml Driver HPZ12) --  File not found
SRV - (Net Driver HPZ12) --  File not found
SRV - (HidServ) --  File not found
SRV - (gusvc) --  File not found
SRV - (avast! Antivirus) -- D:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (NMSAccess) -- D:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (CodeMeter.exe) -- D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe (WIBU-SYSTEMS AG)
SRV - (SPF4) -- D:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (Sunbelt Software)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)
DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (1612midi) -- C:\WINDOWS\system32\drivers\1612midi.sys (Hercules)
DRV - (1612wav) Hercules 16/12 FW Audio Device (WDM) -- C:\WINDOWS\system32\drivers\1612Wav.sys (Hercules)
DRV - (1612FW) -- C:\WINDOWS\system32\drivers\1612FW.sys (Hercules)
DRV - (khips) -- C:\WINDOWS\system32\drivers\khips.sys (Sunbelt Software)
DRV - (fwdrv) -- C:\WINDOWS\system32\drivers\fwdrv.sys (Sunbelt Software)
DRV - (vncdrv) -- C:\WINDOWS\system32\drivers\vncdrv.sys (RDV Soft)
DRV - (vnccom) -- C:\WINDOWS\system32\drivers\vnccom.SYS (RDV Soft)
DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( )
DRV - (d347bus) -- C:\WINDOWS\System32\DRIVERS\d347bus.sys ( )
DRV - (1612GSIF) -- C:\WINDOWS\system32\drivers\1612gsif.sys (Hercules)
DRV - (b57w2k) Broadcom NetLink (TM) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH)
DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudios.sys (VIA Technologies, Inc.)
DRV - (MagixASIODrv) -- D:\Programme\Magix\Samplitude_11\mxasio.sys (MAGIX AG)
DRV - (Aspi32) -- C:\WINDOWS\System32\drivers\aspi32.sys (Adaptec)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://barrierefrei.e-workers.de/workshops/ie-fun/index.html
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8080;https=127.0.0.1:8080
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: D:\Programme\Mozilla Firefox\components [2011.03.09 19:36:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2011.03.07 15:48:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.03.05 16:57:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.02.19 13:14:55 | 000,000,000 | ---D | M]
 
[2010.12.28 19:16:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.12.28 19:16:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.03.15 00:04:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions
[2011.02.19 16:58:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{12bc3590-67a6-11de-8a39-0800200c9a66}
[2011.02.20 21:16:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{1a46a8a0-3278-11dd-bd11-0800200c9a66}
[2011.03.03 22:47:27 | 000,000,000 | ---D | M] (Stylish) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}
[2010.12.28 20:33:06 | 000,000,000 | ---D | M] (NewsFox) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{899DF1F8-2F43-4394-8315-37F6744E6319}
[2011.01.10 18:55:38 | 000,000,000 | ---D | M] (Web Developer) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010.12.28 18:34:25 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.03.11 15:07:32 | 000,000,000 | ---D | M] ("BetterPrivacy") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
[2011.02.19 16:58:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{D46E8522-6E86-44b1-A622-58C0668AD78E}
[2011.03.11 22:39:38 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010.12.28 18:34:25 | 000,000,000 | ---D | M] ("Cookie Button") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{d832c3e4-1a62-48ea-9a1f-5091a1ec3bc5}
[2011.01.27 17:43:21 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.12.28 20:34:10 | 000,000,000 | ---D | M] (Add Bookmark Here ²) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\abhere2@moztw.org
[2011.03.12 23:34:21 | 000,000,000 | ---D | M] (Element Hiding Helper for Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\elemhidehelper@adblockplus.org
[2010.12.28 20:41:06 | 000,000,000 | ---D | M] (external IP) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\externalip@erik.morlin
[2011.02.20 12:22:16 | 000,000,000 | ---D | M] (DOM Inspector) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\inspector@mozilla.org
[2010.12.28 19:20:55 | 000,000,000 | ---D | M] (OptimizeGoogle) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\optimizegoogle@optimizegoogle.com
[2010.12.28 20:52:07 | 000,000,000 | ---D | M] (ScrapBook Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\scrapbookplus@addons.mozilla.org
[2011.01.05 19:20:40 | 000,000,000 | ---D | M] ("Simple Timer + Clocks") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8tjpd969.backup0308\extensions\simpletimerClocks@grbradt.org
[2011.02.04 16:13:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ima65l0d.default\extensions
[2011.03.01 14:29:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Sunbird\Profiles\yha4qha5.default\extensions
[2011.03.15 00:04:51 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2011.02.19 17:14:11 | 000,000,000 | ---D | M] (Java Console) -- D:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.02.19 17:13:28 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- D:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.12.03 19:14:08 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 19:14:08 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.01.19 19:02:35 | 000,000,143 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\foxsearch.src
[2010.12.03 19:14:08 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.03 19:14:08 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.03 19:14:08 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.12.29 12:10:26 | 000,431,168 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	.archivioadulti.com
O1 - Hosts: 127.0.0.1	.internet-explorer.name
O1 - Hosts: 127.0.0.1	.katasearch.com
O1 - Hosts: 127.0.0.1	.preferiti-windows.com
O1 - Hosts: 127.0.0.1	.qoogler.com
O1 - Hosts: 127.0.0.1	.tuttoavolonta.com
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	123topsearch.com
O1 - Hosts: 127.0.0.1	www.123topsearch.com
O1 - Hosts: 14843 more lines...
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (&Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [avast5] D:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [DAEMON Tools-1033] D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Proxomitron.lnk = E:\DOWNLOAD\Utilities\Proxomitron4.51-S-3.3.2\Proxomitron.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 01 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 01 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 01 00 00 00  [binary data]
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.220.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 () - 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.02 12:28:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.03.15 01:15:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2011.03.14 17:39:11 | 000,000,000 | ---D | C] -- D:\Programme\Windows Installer Clean Up
[2011.03.14 17:38:34 | 000,000,000 | ---D | C] -- D:\Programme\MSECACHE
[2011.03.14 15:22:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Systenance
[2011.03.14 15:22:20 | 000,000,000 | ---D | C] -- D:\Programme\Index.dat Analyzer
[2011.03.12 23:47:37 | 000,000,000 | ---D | C] -- E:\000 Eigene Dateien\Downloads
[2011.03.06 15:36:42 | 000,729,088 | ---- | C] (Hewlett-Packard) -- C:\WINDOWS\System32\hpowiax7.dll
[2011.03.06 15:36:42 | 000,372,736 | ---- | C] (Hewlett-Packard) -- C:\WINDOWS\System32\hppldcoi.dll
[2011.03.06 15:36:41 | 000,581,632 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpotscl6.dll
[2011.03.06 15:36:41 | 000,309,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\difxapi.dll
[2011.03.06 15:36:41 | 000,303,104 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpovst15.dll
[2011.02.23 13:50:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help
[2011.02.20 20:22:32 | 000,069,632 | ---- | C] (sTEAKS iNC!) -- C:\WINDOWS\System32\tFade2.scr
[2011.02.19 17:16:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.02.19 17:13:59 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.02.19 17:13:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.02.19 17:13:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.02.19 17:13:22 | 000,000,000 | ---D | C] -- D:\Programme\Java
[2011.02.19 13:13:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime
[2011.02.19 13:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2011.02.19 12:36:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe
[2011.02.18 14:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\DB Tickets
[2011.02.15 18:14:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Plakat-Aufrufe
[2008.03.03 21:42:56 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2008.03.03 21:42:56 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.03.15 11:04:50 | 000,021,828 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.03.15 11:03:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.14 21:48:18 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HP dateien.lnk
[2011.03.14 19:16:39 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\u64f4pck.exe
[2011.03.14 18:35:37 | 000,023,447 | ---- | M] () -- C:\WINDOWS\System32\drivers\fwdrv.err
[2011.03.14 18:20:41 | 000,000,042 | ---- | M] () -- C:\WINDOWS\System32\scud.udf
[2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\w3data.vss
[2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\msvcsv60.dll
[2011.03.11 22:14:38 | 000,000,016 | ---- | M] () -- C:\WINDOWS\msocreg32.dat
[2011.03.11 10:25:53 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.10 15:43:16 | 000,002,427 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Excel 2003.lnk
[2011.03.10 15:43:07 | 000,002,395 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2003.lnk
[2011.03.08 19:55:27 | 000,023,119 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2011.02.20 19:48:45 | 000,004,955 | ---- | M] () -- E:\000 Eigene Dateien\000-Augenschonendtheme.Theme
[2011.02.20 19:23:37 | 000,007,168 | ---- | M] () -- C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys
[2011.02.20 16:20:48 | 000,000,370 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\LAN-Verbindung.lnk
[2011.02.19 17:13:27 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2011.02.19 17:13:27 | 000,157,472 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2011.02.19 17:13:27 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2011.02.19 17:13:27 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2011.02.19 17:13:27 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2011.02.19 13:55:18 | 000,000,754 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\JavaRa.exe.lnk
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.03.14 21:48:18 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HP dateien.lnk
[2011.03.14 19:16:38 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\u64f4pck.exe
[2011.03.14 18:20:41 | 000,000,042 | ---- | C] () -- C:\WINDOWS\System32\scud.udf
[2011.03.14 17:39:11 | 000,002,207 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Windows Install Clean Up.lnk
[2011.03.08 19:55:27 | 000,023,119 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2011.02.20 19:48:45 | 000,004,955 | ---- | C] () -- E:\000 Eigene Dateien\000-Augenschonendtheme.Theme
[2011.02.20 16:20:48 | 000,000,370 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\LAN-Verbindung.lnk
[2011.02.19 13:55:18 | 000,000,754 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\JavaRa.exe.lnk
[2011.02.11 14:12:25 | 000,000,335 | ---- | C] () -- C:\WINDOWS\mozregistry.dat
[2011.01.30 13:28:15 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2010.12.31 09:35:04 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.12.30 18:40:32 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\msvcsv60.dll
[2010.12.30 18:40:32 | 000,000,016 | ---- | C] () -- C:\WINDOWS\msocreg32.dat
[2010.12.28 21:48:41 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys
[2010.12.01 10:15:03 | 000,187,383 | ---- | C] () -- C:\WINDOWS\hpoins28.dat.temp
[2010.12.01 10:15:03 | 000,000,752 | ---- | C] () -- C:\WINDOWS\hpomdl28.dat.temp
[2010.06.16 19:35:58 | 000,000,049 | ---- | C] () -- C:\WINDOWS\SamControlpanel95DE.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_IT.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_FR.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95_ES.INI
[2010.06.16 19:35:58 | 000,000,047 | ---- | C] () -- C:\WINDOWS\SamControlpanel95.INI
[2010.06.16 19:35:34 | 000,001,073 | ---- | C] () -- C:\WINDOWS\SamControlpanel.INI
[2010.05.13 18:38:56 | 000,510,976 | ---- | C] () -- C:\WINDOWS\System32\synsoacc.dll
[2009.07.05 18:49:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpqEmlSz.INI
[2008.11.04 21:54:54 | 000,019,748 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2008.11.04 21:54:30 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.30 11:05:25 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll
[2008.06.24 12:06:51 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.24 12:20:17 | 000,011,910 | ---- | C] () -- C:\WINDOWS\System32\GENMIDI.DLL
[2008.04.24 12:20:03 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\UNDERFLW.DLL
[2008.03.17 13:43:52 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.05 13:59:10 | 000,000,664 | ---- | C] () -- C:\WINDOWS\Sam9_D.INI
[2008.03.05 13:25:33 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2008.03.03 21:24:57 | 000,014,852 | ---- | C] () -- D:\Programme\settings.dat
[2008.03.03 15:48:34 | 000,000,354 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI
[2008.03.03 13:13:09 | 000,001,607 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2008.03.02 18:11:10 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.03.02 14:27:18 | 000,000,671 | ---- | C] () -- C:\WINDOWS\sam7_D.INI
[2008.03.02 14:25:28 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2008.03.02 12:57:40 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2008.03.02 12:55:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.03.02 12:54:40 | 000,006,702 | ---- | C] () -- C:\WINDOWS\System32\drivers\FlashSys.sys
[2008.03.02 12:52:39 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2008.03.02 12:31:13 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.03.02 12:25:36 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.03.02 12:19:42 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.03.02 12:18:37 | 000,153,976 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.04.18 21:07:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll
[2005.02.24 07:32:00 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2004.08.02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2002.08.29 02:54:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2001.08.31 23:15:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.31 23:15:44 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 20:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 20:00:00 | 000,475,228 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 20:00:00 | 000,454,936 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 20:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 20:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 20:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 20:00:00 | 000,091,542 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 20:00:00 | 000,075,014 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 20:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 20:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 20:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 20:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2011.01.04 02:03:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software
[2010.12.29 12:07:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2008.03.03 21:47:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EDIROL
[2011.02.10 16:28:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.12.30 14:26:15 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{08BCEE1B-8DEC-401F-989A-111EE3AF2366}
[2010.12.30 15:15:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{27FE70E2-0B9D-4C25-8965-A3CAC5D841F4}
[2008.11.16 22:57:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2010.12.30 14:25:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{51753DAD-2BAB-4BB2-A4AA-CAAEF5AA972B}
[2010.12.30 14:25:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{5D4AD7AA-51B3-4EF1-8DBC-4D6CBFF4668D}
[2010.12.30 14:31:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{60F5118F-670A-4601-B460-BD2B3A496090}
[2010.12.30 14:18:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{699830EE-64F0-4782-AEDE-0FCCC40946BA}
[2010.12.30 15:15:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8390519B-1329-4713-98A3-9EC042F86B78}
[2010.12.30 14:15:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B5F0C192-874D-49A8-88D7-8431E3714756}
[2010.12.30 14:23:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D15CE785-FD15-4860-807A-3B68400084D3}
[2010.12.30 14:28:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EB5141A8-9F87-4F90-8A97-BF06CCA83206}
[2010.12.30 14:25:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F32D981D-89D0-467F-960D-3B836F636745}
[2010.12.30 14:25:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{FB19379B-D540-4A0A-912E-90471688759D}
[2010.12.29 12:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe Limited
[2011.03.04 23:24:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox
[2011.03.14 13:44:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2011.03.07 20:24:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2011.03.01 12:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\KompoZer
[2011.01.28 17:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LibreOffice
[2010.05.13 18:20:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\My Games
[2011.01.09 01:24:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Notepad++
[2011.01.09 01:19:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Opera
[2008.03.02 19:17:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Steinberg
[2008.06.13 20:56:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\streamripper
[2011.03.14 15:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Systenance
[2010.12.28 19:16:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 152 bytes -> C:\WINDOWS\System32\drivers\++++++++++++++++++++++StarOpen.sys:SummaryInformation
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >
         
--- --- ---

-----------------------------------------------------OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 15.03.2011 17:04:23 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = E:\DOWNLOAD\Utilities\SECURITY
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): F:\pagefile.sys 768 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 14,65 Gb Total Space | 4,47 Gb Free Space | 30,50% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 1,25 Gb Free Space | 8,56% Space Free | Partition Type: NTFS
Drive E: | 24,41 Gb Total Space | 2,36 Gb Free Space | 9,68% Space Free | Partition Type: NTFS
Drive F: | 22,98 Gb Total Space | 3,35 Gb Free Space | 14,60% Space Free | Partition Type: NTFS
Drive H: | 363,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 533,75 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: HAL9000 | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- D:\Programme\Opera\Opera.exe (Opera Software)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "D:\Programme\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "D:\Programme\Opera\Opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe" = D:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe:*:Enabled:CodeMeter Runtime Server -- (WIBU-SYSTEMS AG)
"D:\Programme\Opera\opera.exe" = D:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{086BADF8-9B1F-4E89-B207-2EDA520972D6}" = Grand Theft Auto San Andreas
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center
"{0E086923-AAA3-4F98-A6E2-48B64CE27553}" = Native Instruments Reaktor Factory Selection
"{1007CD51-03AB-4C19-B4F6-CD76F43222BC}" = Native Instruments Best of Absynth
"{10592681-B6D2-4C96-9D92-2371190C4EE4}" = Hercules 1612FW - Benutzerhandbuch
"{121634B0-2F4B-11D3-ADA3-00C04F52DD52}" = Windows Installer Clean Up
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 24
"{26B46206-DF80-4DA2-AEAB-FF146320C344}" = CodeMeter Runtime Kit v4.01
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{388E2B4E-31C3-4620-95AF-FE3EFEE9C662}" = Native Instruments Best of Massive
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{43E7798A-248E-4A3D-9969-FEA63543A462}" = Native Instruments Kontakt 4
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4B35F00C-E63D-40DC-9839-DF15A33EAC46}" = Grand Theft Auto Vice City
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7604A79D-245D-45BB-AFBB-975DE69FFF80}" = Digidesign M-Audio Keyboard Personality 8.0
"{77832A71-8657-46D1-89BC-630243926C9A}" = Orchestral VST
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{8A7E941F-2BB4-47D0-B732-8AE5F3513B68}" = ASAPI
"{8C04CE01-F7B8-4961-884B-6CE7EFFADCD4}" = Native Instruments Reaktor Spark R2
"{8CCA4800-152A-4C51-8569-5803FBD67CC9}" = LibreOffice 3.3
"{8F03D312-383B-4EFD-A0A5-E6AD6B19DA49}" = Hercules 16/12 FW drivers
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A8AD990E-355A-4413-8647-A9B168978423}_is1" = UltraVNC v1.0.1
"{AB85EE3E-1791-4A85-BD60-CD1349ECBD6C}" = Samplitude 11
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{ac7cd50e-f117-4eb4-87ff-a8cbec0dcbbc}" = Native Instruments Kontakt Elements Selection
"{B0FC9E28-1CE6-4A40-BEF1-C6E6EDFCA070}" = Native Instruments Kontakt Factory Selection
"{BA0D0121-A3BA-487D-9C78-7AB0E676C722}" = Miroslav Philharmonik
"{BFD080F6-3BF0-40E1-9507-9CA969C35870}" = Sunbelt Personal Firewall
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{C978F5A7-5E75-4DBD-BFD7-A0488E8EFF9E}" = FileMaker Pro 8.5 Advanced
"{D05011B7-C50B-4E5C-9468-12BF462D8339}" = Native Instruments Komplete 7 Elements
"{D94FCA8D-A8B6-4F03-B0AE-416BFB7AF06A}" = Native Instruments Reaktor Elements Selection
"{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}" = iTunes
"{E236DA46-2EDD-4097-8CF4-444B4FC9E226}" = Native Instruments Abbey Road 60s Drums Vintage
"{E80B34EE-F3E5-4F60-AE89-FF0D717554A2}" = EZdrummer Lite Installer
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F5346614-B7C4-4E94-826A-E2363155233D}" = EasyCleaner
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FF600C37-6328-4348-A67A-3F85D8039604}" = Native Instruments Kore Player
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ASIO4ALL" = ASIO4ALL
"AudioCon" = AudioCon
"Autoplay Repair" = Autoplay Repair 2.2.2
"avast5" = avast! Free Antivirus
"DreamStation DXi2" = DreamStation DXi2
"DVS Guitar_is1" = DVS Guitar v1.05a
"Emagic EVP73 VSTi v1.0" = Emagic EVP73 VSTi v1.0
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"FL Studio 7" = FL Studio 7
"Happyland Adventures - Xmas Edition_is1" = Happyland Adventures - Xmas Edition v1.3
"ie8" = Windows Internet Explorer 8
"IL Download Manager" = IL Download Manager
"Index.dat Analyzer_is1" = Index.dat Analyzer v2.5
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"MozBackup_is1" = MozBackup 1.4.7
"Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15)
"Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9)
"MSI Live Update 3" = MSI Live Update 3
"Native Instruments Abbey Road 60s Drums Vintage" = Native Instruments Abbey Road 60s Drums Vintage
"Native Instruments B4 v1.11" = Native Instruments B4 v1.11
"Native Instruments Battery v1.0" = Native Instruments Battery v1.0
"Native Instruments Best of Absynth" = Native Instruments Best of Absynth
"Native Instruments Best of Massive" = Native Instruments Best of Massive
"Native Instruments Guitar Rig v1.1.2" = Native Instruments Guitar Rig v1.1.2
"Native Instruments Komplete 7 Elements" = Native Instruments Komplete 7 Elements
"Native Instruments Kontakt 4" = Native Instruments Kontakt 4
"Native Instruments Kontakt Elements Selection" = Native Instruments Kontakt Elements Selection
"Native Instruments Kontakt Factory Selection" = Native Instruments Kontakt Factory Selection
"Native Instruments Kore Player" = Native Instruments Kore Player
"Native Instruments Pro-52 v2.0-OxYGeN" = Native Instruments Pro-52 v2.0-OxYGeN
"Native Instruments Reaktor Elements Selection" = Native Instruments Reaktor Elements Selection
"Native Instruments Reaktor Factory Selection" = Native Instruments Reaktor Factory Selection
"Native Instruments Reaktor Spark R2" = Native Instruments Reaktor Spark R2
"Native Instruments Service Center" = Native Instruments Service Center
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"Opera 11.01.1190" = Opera 11.01
"Picasa2" = Picasa 2
"RealAlt_is1" = Real Alternative 1.9.0
"Samplitude FX D" = Samplitude FX 1.0.0.0 (D)
"SCREEN2EXE_is1" = SCREEN2EXE 3.1 (build:2425)
"secretmaryo" = Secret Maryo Chronicles
"Steinberg Nuendo v2.2.0.33" = Steinberg Nuendo v2.2.0.33
"Streamripper" = Streamripper (Remove only)
"SuperTux_is1" = SuperTux 0.1.3
"Tweak UI 2.10" = Tweak UI
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"VLC media player" = VLC media player 1.1.5
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows XP Service Pack" = Windows XP Service Pack 2
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinRAR archiver" = WinRAR
"xp-AntiSpy" = xp-AntiSpy 3.96-7
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"FileZilla Client" = FileZilla Client 3.0.11
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 14.03.2011 12:40:07 | Computer Name = HAL9000 | Source = VBRuntime | ID = 1
Description = The VB Application identified by the event source logged this Application
 MSICUU: Thread ID: 3612 ,Logged:     Failed:   D:\Programme\Windows Installer Clean Up\msizap.exe
 TW! {2614F54E-A828-49FA-93BA-45A3F756BFAA}
 
Error - 14.03.2011 12:40:10 | Computer Name = HAL9000 | Source = VBRuntime | ID = 1
Description = The VB Application identified by the event source logged this Application
 MSICUU: Thread ID: 3612 ,Logged:     Failed:   D:\Programme\Windows Installer Clean Up\msizap.exe
 TW! {BE8A9C2C-8E41-445B-A746-BEB0B1F992F8}
 
 
< End of report >
         
--- --- ---


------------------------------------------------------

3) Der PC geht in 2 Tagen komplett vom Netz. Windows wird von mir dann mal neu aufgesetzt und sp3 auch installiert... ;-)
__________________
__________________

Alt 15.03.2011, 17:31   #4
GoRilla42
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Hallo,

hier ist auch noch ein GMER-Log...



GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2011-03-14 19:18:59
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HDS728080PLAT20 rev.PF2OA21B
Running: u64f4pck.exe; Driver: F:\000TEM~1\fwldipoc.sys


---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF75B22A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF75BD910]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xB89B8652]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 895ACD48
Device \Driver\atapi \Device\Ide\IdePort0 895ACD48
Device \Driver\atapi \Device\Ide\IdePort1 895ACD48
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 895ACD48
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 894EAD68
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target1Lun0 894EAD68
Device \Driver\d347prt \Device\Scsi\d347prt1 894EAD68
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
Device \FileSystem\Ntfs \Ntfs 8984FCB8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Ip 894A2538
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Tcp 894A2538
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Udp 894A2538
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\RawIp 894A2538
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- Modules - GMER 1.0.15 ----

Module _________ F7473000-F748B000 (98304 bytes)

---- EOF - GMER 1.0.15 ----
__________________
WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW

Alt 15.03.2011, 20:16   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Zitat:
3) Der PC geht in 2 Tagen komplett vom Netz. Windows wird von mir dann mal neu aufgesetzt und sp3 auch installiert... ;-)
Na, dann lohnt sich auch keine Analyse mehr...


Alt 16.03.2011, 14:19   #6
GoRilla42
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Ähem... das war ja klar ;-)

Aber vielleicht sei noch die Frage gestattet, ob jemandem schon mal der Dienst WWY untergekommen ist. Habe beim Googlen nichts finden können.

Außerdem habe ich vor noch einiges von den Audio- und Textdateien, die auf meiner Platte liegen, rüberzuretten bevor ich alles formatiere. Es wäre von daher gut zu wissen, ob die Daten "sauber" sind.

Ich bin ab morgen für 14 Tage auf Montage und kann mich des Themas nicht weiter annehmen. Aber vielleicht kann mir heute noch jemand Klarheit darüber verschaffen, ob mein System kompromittiert wurde.

Also, für Antworten wäre ich in jedem Falle dankbar...

Grüße -
GoRilla42
__________________
--> Unbekannter Windows Dienst "WWY"

Alt 16.03.2011, 14:24   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Den Dienst kenn ich nicht. Auch Google spuckt nichts Brauchbares aus.
Möglich dass der durch Malware kam. Es kann aber sein, dass bestimmte Rootkitscanner den angelegt haben (random name).

Hattest du auf dieser Windows-Installation denn schonmal Malwarefunde? Oder Rootkitscanner o.ä. installiert?

Alt 16.03.2011, 15:05   #8
GoRilla42
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Stimmt, jetzt wo Du es erwähnst... Ich hatte mal den Rootkitrevealer laufen, aber bin nicht fit genug mit den Scan-Ergebnissen etwas anzufangen.



Malwarebytes hatte am 17.01. folgendes gefunden:

--
alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5537

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.01.2011 14:56:22
mbam-log-2011-01-17 (14-56-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 175854
Laufzeit: 18 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


--
Beim Nachlesen in diversen Foren, habe ich dann allerdings gelesen, daß eventuell das Programm "autoruns" für den Alarm von Malwarebytes der Auslöser gewesen sein könnte. Habe mit Autoruns mal rumexperimentiert und diverse Autostarts deaktiviert...

-------------------------------------------------------

In der letzten Zeit hatte ich ständig Probleme mit meinem HP-Drucker - druckte nicht richtig, dann plötzlich keine Scans mehr möglich.
Habe daraufhin versucht alles von HP zu entfernen, was sich allerdings als recht schwierig erwiesen hat. Auch mit einem Tool von HP (gr_uninstall.exe), das angeblich alle Reste der HP-Software entfernen sollte, blieben jede Menge Einträge/Dienste zurück.
Habe daraufhin mit Windows Installer Cleanup Utility die letzten HP-Software-Einträge entfernt.
Jetzt sind aber immer noch HP-Dienste vorhanden (von mir allerdings deaktiviert):

-HP CUE DeviceDiscovery Service
-hpqcxs08
-Net Driver HPZ12
-Pml Driver HPZ12

Aber das ist wohl ein anderes Thema und gehört vielleicht in einen gesonderten Thread...
__________________
WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW

Alt 16.03.2011, 15:18   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Gut möglich, dass der RootkitRevealer den Dienst erzeugt und nicht komplett gelöscht hat. Ich weiß, dass der solche Dienste mit zufälligen Namen erzeugt.

Alt 16.03.2011, 15:53   #10
GoRilla42
 
Unbekannter Windows Dienst "WWY" - Standard

Unbekannter Windows Dienst "WWY"



Hallo Arne,

Na dann vertrau ich mal darauf, daß es der Rootkitscanner war. Hast ja recht, was soll man sich jetzt noch mit der Analyse rumschlagen. Werde das System sowieso neu Aufsetzen und dann mit sp3, windowsfirewall etc. und ansonsten immer brav die Updates ziehen.

Ich danke Dir für die Hilfe. :-)

Grüße
GoRilla42
__________________
WinXP/SP2 - Firefox/3.6.15 - Avast-Antivir - Sunbelt PFW

Antwort

Themen zu Unbekannter Windows Dienst "WWY"
avast, bekannter, compu, computer, dienst, eingefangen, entdeck, entdeckt, gefangen, informationen, malwarebytes, nichts, runde, unbekannter, weiteren, windows, windows dienst, winxp, zicken



Ähnliche Themen: Unbekannter Windows Dienst "WWY"


  1. Keine Verbindung mit dem Dienst "Benachrichtigungsdienst für Systemereignisse"
    Plagegeister aller Art und deren Bekämpfung - 14.11.2015 (11)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Immer Ärger mit Samsung-Dienst "Find My Mobile"
    Nachrichten - 28.10.2014 (0)
  4. Windows 7: GDATA Antivirus meldet "unbekannter Schädling (Fingerprint: [88157299])"
    Plagegeister aller Art und deren Bekämpfung - 24.07.2014 (7)
  5. Windows 7: "Windows-Verwaltungsinstrumentation"-Dienst startet nicht nach Trojanerbefall
    Log-Analyse und Auswertung - 15.06.2014 (15)
  6. Windows 8.1: Dienst "Geräteinstallations-Manager" (DsmSvc) beansprucht 20-30% CPU-Auslastung im Ruhezustand
    Plagegeister aller Art und deren Bekämpfung - 20.05.2014 (15)
  7. Win 7: TeamSpeak 3 Installation: "Der angegebene Dienst ist kein installierter Dienst"
    Log-Analyse und Auswertung - 15.04.2014 (17)
  8. Win XP SP3: der Dienst "Automatische Updates" lässt sich nicht aktivieren
    Log-Analyse und Auswertung - 09.01.2014 (5)
  9. Windows XP - Die Ausnahme "Unbekannter Softwarefehler" von Avira-Scan, Windowas Firewall geht und svchost.exe verursacht hohe CPU Auslastung
    Log-Analyse und Auswertung - 20.12.2013 (9)
  10. [Meldung im Wartecenter] 'Dienst "Windows-Sicherheitscenter" aktivieren (Wichtig)'
    Plagegeister aller Art und deren Bekämpfung - 10.11.2013 (1)
  11. Dienst "Windows-Sicherheitscenter" lässt sich nicht aktivieren
    Log-Analyse und Auswertung - 21.06.2011 (21)
  12. Dienst "Sicherheitscenter" lässt sich nicht starten - Googleumleitungen - Trojaner on Board ?
    Log-Analyse und Auswertung - 10.02.2011 (25)
  13. Windows Update Dienst bleibt im Status "wird gestartet" stehen
    Alles rund um Windows - 05.06.2010 (0)
  14. "Der angegebene Dienst ist kein istallierter Dienst."
    Plagegeister aller Art und deren Bekämpfung - 29.07.2009 (0)
  15. Computer aufeinmal sehr langsam , AntiVir "Dienst gestoppt"
    Log-Analyse und Auswertung - 08.07.2009 (16)
  16. Unbekannter Dienst "Teriveuhw"
    Plagegeister aller Art und deren Bekämpfung - 01.12.2008 (11)
  17. hartnäckiger unbekannter Plagegeist... "Windows Security Alert"
    Plagegeister aller Art und deren Bekämpfung - 02.11.2007 (11)

Zum Thema Unbekannter Windows Dienst "WWY" - Hallo in die Runde, kennt jemand von Euch den Dienst "WWY" (WinXP)? Ich habe diesen Dienst kürzlich auf meinem PC entdeckt und kann damit nichts anfangen. Es gibt zu dem - Unbekannter Windows Dienst "WWY"...
Archiv
Du betrachtest: Unbekannter Windows Dienst "WWY" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.