| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.BankerBot.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.05.2011, 02:56
| #1 |
 |  Trojan.BankerBot.Gen Hallo! Nachdem mein Malwarebytes' den Trojan.BankerBot.Gen gefunden hat wobei ich nicht weiss warum der rkill so erkannt wurde Code:
ATTFilter c:\dokumente und einstellungen\xxx\eigene dateien\downloads\rkill.com (Trojan.BankerBot.Gen) -> Quarantined and deleted successfully
Ich habe dazu noch die folgende Scans durchgeführt: OTL Code:
ATTFilter OTL logfile created on: 31.05.2011 02:42:42 - Run 5
OTL by OldTimer - Version 3.2.23.0 Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,25 Gb Total Physical Memory | 2,38 Gb Available Physical Memory | 73,31% Memory free
8,95 Gb Paging File | 8,14 Gb Available in Paging File | 90,94% Paging File free
Paging file location(s): D:\pagefile.sys 6000 6000 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 11,75 Gb Free Space | 40,11% Space Free | Partition Type: NTFS
Drive D: | 119,75 Gb Total Space | 19,03 Gb Free Space | 15,89% Space Free | Partition Type: NTFS
Computer Name: HOME | User Name: xxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
PRC - [2011.05.31 02:41:43 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL(1).exe
PRC - [2011.04.29 14:36:58 | 012,594,352 | ---- | M] (Mozilla Messaging) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2011.04.29 14:35:06 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2011.04.27 13:03:46 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.17 12:18:28 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.02.02 22:40:41 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- D:\Programme\java\bin\jqs.exe
PRC - [2010.11.02 13:02:30 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.10.29 15:49:28 | 000,249,064 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.07.07 12:52:58 | 003,065,160 | ---- | M] (Emsi Software GmbH) -- D:\Programme\Online Armor\oahlp.exe
PRC - [2010.07.07 12:52:54 | 006,854,984 | ---- | M] (Emsi Software GmbH) -- D:\Programme\Online Armor\oaui.exe
PRC - [2010.07.07 12:52:54 | 003,364,680 | ---- | M] (Emsi Software GmbH) -- D:\Programme\Online Armor\oasrv.exe
PRC - [2010.07.07 12:52:54 | 001,283,400 | ---- | M] (Emsi Software GmbH) -- D:\Programme\Online Armor\oacat.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.10.01 20:09:42 | 000,962,464 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2008.10.01 20:05:12 | 004,365,688 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2008.10.01 18:38:54 | 000,165,144 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2008.10.01 18:38:46 | 000,554,264 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2008.06.03 02:06:34 | 005,964,800 | ---- | M] () -- C:\Program Files\ASUS\Six Engine\SixEngine.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.01.31 14:55:42 | 000,096,370 | ---- | M] (Canon Inc.) -- C:\Programme\Canon\CAL\CALMAIN.exe
PRC - [2006.04.11 21:07:26 | 001,503,232 | ---- | M] () -- C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
========== Modules (SafeList) ==========
MOD - [2011.05.31 02:41:43 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL(1).exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2010.07.07 12:52:56 | 000,947,016 | ---- | M] (Emsi Software GmbH) -- D:\Programme\Online Armor\oawatch.dll
MOD - [2008.04.14 07:52:34 | 000,053,760 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\winsta.dll
MOD - [2008.04.14 07:52:34 | 000,024,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wsock32.dll
MOD - [2008.04.14 07:52:34 | 000,018,432 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wtsapi32.dll
MOD - [2008.04.14 07:52:14 | 000,095,744 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\iphlpapi.dll
MOD - [2006.05.03 23:53:54 | 000,174,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\framedyn.dll
========== Win32 Services (SafeList) ==========
SRV - [2011.05.18 14:06:03 | 003,275,864 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_8832f4b.dll -- (Akamai)
SRV - [2011.04.27 13:03:46 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.03.17 12:18:28 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.02.02 22:40:41 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- D:\Programme\java\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2010.07.07 12:52:54 | 003,364,680 | ---- | M] (Emsi Software GmbH) [Auto | Running] -- D:\Programme\Online Armor\oasrv.exe -- (SvcOnlineArmor)
SRV - [2010.07.07 12:52:54 | 001,283,400 | ---- | M] (Emsi Software GmbH) [Auto | Running] -- D:\Programme\Online Armor\OAcat.exe -- (OAcat)
SRV - [2010.03.07 20:30:05 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008.10.01 18:38:46 | 000,554,264 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007.01.31 14:55:42 | 000,096,370 | ---- | M] (Canon Inc.) [Auto | Running] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2006.06.21 19:08:48 | 000,937,984 | ---- | M] (Wacom Technology, Corp.) [Auto | Running] -- C:\WINDOWS\system32\Tablet.exe -- (TabletService)
SRV - [2005.11.17 16:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- D:\Programme\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2005.03.14 12:05:02 | 000,069,632 | ---- | M] (HP) [Auto | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
========== Driver Services (SafeList) ==========
DRV - [2011.03.17 12:18:28 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.22 13:15:26 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.07.07 12:25:58 | 000,022,600 | ---- | M] (Emsisoft) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OAmon.sys -- (OAmon)
DRV - [2010.07.07 12:25:42 | 000,028,232 | ---- | M] (Emsisoft) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OAnet.sys -- (OAnet)
DRV - [2010.07.07 12:25:38 | 000,236,104 | ---- | M] (Emsisoft) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\OADriver.sys -- (OADevice)
DRV - [2010.06.14 10:32:54 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2010.04.27 04:25:12 | 000,123,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_mdm.sys -- (ss_mdm)
DRV - [2010.04.27 04:25:12 | 000,098,560 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bus.sys -- (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM)
DRV - [2010.04.27 04:25:12 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_mdfl.sys -- (ss_mdfl)
DRV - [2010.02.21 15:00:17 | 000,967,168 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\tdrpm139.sys -- (tdrpman139) Acronis Try&Decide and Restore Points filter (build 139)
DRV - [2010.02.21 15:00:15 | 000,540,000 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2010.02.21 15:00:15 | 000,044,704 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2010.02.21 14:59:53 | 000,134,272 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snman380.sys -- (snapman380) Acronis Snapshots Manager (Build 380)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 13:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.06.25 18:47:00 | 000,036,864 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e)
DRV - [2008.06.02 20:20:54 | 003,100,160 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2008.05.20 13:53:36 | 000,093,696 | R--- | M] (ATI Research Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2008.05.20 11:53:00 | 004,800,000 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.12.17 11:14:06 | 000,012,400 | R--- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2006.08.31 03:47:00 | 000,025,856 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0801co.sys -- (tap0801co) TAP-Win32 Adapter V8 (coLinux)
DRV - [2006.07.24 17:05:00 | 000,005,632 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2006.03.15 15:19:34 | 000,280,576 | ---- | M] (Marvell Semiconductor, Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WG311v3XP.sys -- (W8335XP) NETGEAR WG311v3 802.11g Wireless PCI Adapter for Windows XP (8335)
DRV - [2006.02.15 00:19:14 | 000,006,144 | ---- | M] (Wacom Technology) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wacomvhid.sys -- (wacomvhid)
DRV - [2006.02.15 00:18:52 | 000,005,632 | ---- | M] (Wacom Technology) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wacommousefilter.sys -- (wacommousefilter)
DRV - [2004.08.13 12:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
========== FireFox ==========
FF - prefs.js..browser.startup.homepage: "xxx"
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.9.8
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.48.3
FF - prefs.js..extensions.enabledItems: {cf47767d-5f3a-4e32-9fce-5d79565c9702}:1.1.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: firefox@meebo.com:1.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Programme\java\lib\deploy\jqs\ff [2010.05.31 11:17:10 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.04.29 14:35:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.04.01 13:19:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.04.29 14:36:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.12.17 17:13:51 | 000,000,000 | ---D | M]
[2010.02.21 14:47:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.02.21 14:47:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.04.01 13:19:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions
[2010.04.27 01:43:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.03.04 13:15:56 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2011.01.15 04:50:24 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.12.25 10:43:18 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.07.30 11:26:55 | 000,000,000 | ---D | M] ("BetterPrivacy") -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
[2010.05.31 12:20:12 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2010.12.27 10:24:11 | 000,000,000 | ---D | M] (meebo) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\firefox@meebo.com
[2011.03.04 13:15:58 | 000,000,000 | ---D | M] (TinEye Reverse Image Search) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\glnc8lea.default\extensions\tineye@ideeinc.com
[2011.04.01 13:19:06 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.08.13 22:47:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.11.04 22:11:49 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.14 05:44:09 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.04 12:26:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
File not found (No name found) --
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\xxx\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\GLNC8LEA.DEFAULT\EXTENSIONS\{CF47767D-5F3A-4E32-9FCE-5D79565C9702}.XPI
[2011.04.29 14:35:05 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2011.02.02 22:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.05.31 12:19:02 | 000,072,960 | ---- | M] (Foxit Software Company) -- C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
[2010.12.09 12:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2010.02.21 14:57:56 | 000,000,867 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O4 - HKLM..\Run: [@OnlineArmor GUI] D:\Programme\Online Armor\oaui.exe (Emsi Software GmbH)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [Six Engine] C:\Program Files\ASUS\Six Engine\SixEngine.exe ()
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\NETGEAR WG311v3 Smart Wizard.lnk = C:\WINDOWS\Installer\{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {4F07DA45-8170-4859-9B5F-037EF2970034} - D:\Programme\Online Armor\oaevent.dll (Emsi Software GmbH)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.21 14:04:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2011.05.31 02:41:37 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL(1).exe
[2011.05.29 23:34:02 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2011.05.28 00:29:24 | 001,431,344 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\xxx\Desktop\tdsskiller.exe
[2011.05.23 17:07:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\WTablet
[2011.05.21 02:30:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop\96 2001
[2011.05.13 08:36:18 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2008.08.14 09:14:14 | 000,079,240 | ---- | C] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\adobetmp00014947
[12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2011.05.31 02:41:43 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL(1).exe
[2011.05.31 02:39:30 | 000,062,549 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\url.htm
[2011.05.31 02:38:56 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\defogger_reenable
[2011.05.31 02:38:29 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Defogger.exe
[2011.05.30 16:22:17 | 000,002,305 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\NETGEAR WG311v3 Smart Wizard.lnk
[2011.05.30 16:21:34 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.05.30 16:21:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.28 00:29:25 | 001,431,344 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\xxx\Desktop\tdsskiller.exe
[2011.05.26 22:03:20 | 000,000,741 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\.recently-used.xbel
[2011.05.26 13:13:37 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2011.05.20 16:10:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.05.13 08:36:18 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cp
[2011.05.06 22:12:02 | 000,026,624 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2011.05.31 02:39:29 | 000,062,549 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\url.htm
[2011.05.31 02:38:56 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\defogger_reenable
[2011.05.31 02:38:29 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Defogger.exe
[2011.05.26 22:03:20 | 000,000,741 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\.recently-used.xbel
[2010.12.19 14:09:05 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2010.12.19 13:33:39 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2010.12.19 13:33:39 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2010.12.19 13:33:28 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\$_hpcst$.hpc
[2010.12.12 13:13:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2010.06.05 20:58:38 | 000,064,000 | ---- | C] () -- C:\WINDOWS\System32\ESFW30.BIN
[2010.06.05 20:45:43 | 000,000,145 | ---- | C] () -- C:\WINDOWS\System32\EBPPORT.DAT
[2010.05.30 18:49:53 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.05.30 18:49:53 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.05.30 18:49:53 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.05.30 18:49:53 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.05.30 18:49:53 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.05.17 08:28:12 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.04.11 23:45:09 | 000,103,981 | ---- | C] () -- C:\WINDOWS\hpoins08.dat
[2010.04.11 23:45:09 | 000,004,445 | ---- | C] () -- C:\WINDOWS\hpomdl08.dat
[2010.04.11 23:45:05 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2010.03.12 12:08:09 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2010.03.12 12:06:15 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2010.03.11 12:49:16 | 000,026,624 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.03.07 13:37:46 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.02.28 13:19:31 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.02.21 14:47:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.02.21 14:36:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2010.02.21 14:31:48 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2010.02.21 14:31:41 | 003,107,788 | R--- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2010.02.21 14:27:37 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2010.02.21 14:27:37 | 000,012,400 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2010.02.21 14:27:35 | 000,011,832 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys
[2010.02.21 14:27:35 | 000,010,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys
[2010.02.21 14:23:52 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010.02.21 14:12:42 | 000,038,396 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2010.02.21 14:12:34 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2010.02.21 14:12:30 | 000,038,005 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2010.02.21 14:12:30 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2010.02.21 14:06:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.02.21 14:01:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.02.21 13:54:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.02.21 13:53:24 | 000,153,176 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.04.14 08:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.10.25 18:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2007.08.21 11:51:16 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2007.08.21 09:36:12 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2006.12.31 07:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2001.08.23 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.23 13:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 12:00:00 | 000,442,016 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 12:00:00 | 000,426,206 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 12:00:00 | 000,077,624 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 12:00:00 | 000,065,216 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
========== LOP Check ==========
[2010.02.21 16:09:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2010.07.24 22:56:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OnlineArmor
[2010.12.19 13:34:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2010.03.08 01:00:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SYSTEMAX Software Development
[2010.12.03 09:22:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.03.07 13:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Acronis
[2010.04.19 18:14:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Canon
[2011.01.15 04:50:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.06.05 21:24:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\EPSON
[2011.05.31 01:04:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla
[2010.05.31 12:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit
[2010.09.20 23:10:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MPEG Streamclip
[2010.03.21 01:54:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Nvu
[2010.05.31 08:57:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OnlineArmor
[2010.12.19 13:41:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Samsung
[2010.03.08 01:00:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SYSTEMAX Software Development
[2010.02.21 14:47:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
========== Purity Check ==========
< End of report >
Code:
ATTFilter OTL Extras logfile created on: 31.05.2011 02:42:42 - Run 5
OTL by OldTimer - Version 3.2.23.0 Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,25 Gb Total Physical Memory | 2,38 Gb Available Physical Memory | 73,31% Memory free
8,95 Gb Paging File | 8,14 Gb Available in Paging File | 90,94% Paging File free
Paging file location(s): D:\pagefile.sys 6000 6000 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 11,75 Gb Free Space | 40,11% Space Free | Partition Type: NTFS
Drive D: | 119,75 Gb Total Space | 19,03 Gb Free Space | 15,89% Space Free | Partition Type: NTFS
Computer Name: HOME | User Name: xxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Digital Photo Professional] -- C:\Programme\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated)
"D:\Programme\mirc\mirc.exe" = D:\Programme\mirc\mirc.exe:*:Enabled:mIRC
"D:\Programme\java\bin\java.exe" = D:\Programme\java\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\andLinux\Xming\Xming.exe" = C:\Programme\andLinux\Xming\Xming.exe:*:Enabled:Xming X Server -- ()
"D:\Programme\npsasvr.exe" = D:\Programme\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server
"D:\Programme\npsvsvr.exe" = D:\Programme\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{03616C5B-B3B0-D836-7F6E-52C552423E92}" = CCC Help Danish
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{098727E1-775A-4450-B573-3F441F1CA243}" = kuler
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{0E0131B2-CF18-40D9-A331-60A3746C1204}" = EPSON Scan
"{17781F86-6424-EE47-F89A-450AD258DDDF}" = Catalyst Control Center Localization French
"{182068C3-0F20-2DCF-E922-2E2DCE64AB71}" = Catalyst Control Center Graphics Full Existing
"{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR
"{1CCACF5B-B709-E2F7-5F7E-8162C2D6502B}" = CCC Help Swedish
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{27555031-A116-4EC6-9991-7B400142A936}" = HP PSC & OfficeJet 6.1.A
"{27DB0F69-452E-4EB9-850C-972CB47D1031}" = Nero 7 Premium
"{2FABBF4F-28BF-64FF-75CA-37153735C77A}" = Catalyst Control Center Localization Italian
"{307749DC-9B43-5906-1881-70989C33913F}" = Catalyst Control Center Localization German
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4
"{36CDA33B-909B-4719-97D1-C4B99309BDC7}" = ATI Parental Control & Encoder
"{37C8899D-FD70-481F-94AA-1F1B08765E22}" = Acronis*True*Image*Home
"{39E08346-9650-4A5F-B870-104C9B3603C5}" = Samsung PC Studio 3
"{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player
"{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4
"{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin
"{3F7EF346-DEDA-C5C7-2954-65866826444D}" = Catalyst Control Center Localization Spanish
"{43509E18-076E-40FE-AF38-CA5ED400A5A9}" = Pixel Bender Toolkit
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54DAD4E1-4CAA-6F1B-040A-842DA55B897B}" = CCC Help Spanish
"{562D8544-2628-6CB0-FDD0-B2971C07FEAB}" = Catalyst Control Center Localization Chinese Traditional
"{56B83336-FBC1-4C46-8613-90A9E3B440D6}" = EPU-6 Engine
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate
"{5AF64FD5-F178-DE6A-1119-34A240378104}" = CCC Help Dutch
"{5DE2A5D7-1C74-AA39-63BC-D59AA5F2D783}" = CCC Help Finnish
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DB5894-B5A1-4B62-B0F3-669A22C0EE5D}" = Adobe Dynamiclink Support
"{627EAB2D-F5AE-4815-AD8E-79129D7959E8}" = Memory Card File Rescue
"{656C6151-03B2-4077-8E29-0950037FC8B4}" = Avid Codecs LE
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{70014586-7BBA-4A92-A610-CDC896C48F8F}" = NETGEAR WG311v3 PCI Adapter
"{77AC31BF-889A-D7D0-9185-AB866400E81D}" = ccc-utility
"{7AE5174D-AE78-304C-06B3-0367CD68E23D}" = Catalyst Control Center Localization Norwegian
"{85FDDA7F-3B2B-3016-F948-10B120D2109D}" = CCC Help English
"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8CB76047-2972-F255-DB65-4471A3D0724E}" = ccc-core-preinstall
"{93089B70-35CD-14F9-AD9D-228190DCE552}" = Catalyst Control Center Graphics Light
"{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4
"{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4
"{9A00175A-E630-AC96-1580-D682764F801D}" = Catalyst Control Center Localization Japanese
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9E0560F9-C2DF-022D-2A6A-481AF28B48BD}" = Catalyst Control Center Localization Danish
"{A0494B41-EBD7-4C0D-91B7-DC39741B27BB}" = Express Gate
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8111BE5-ABE4-82D6-FAB0-4228CAEEABCD}" = CCC Help German
"{A997B58A-F7A7-AE94-1A89-08062C85AB33}" = CCC Help Chinese Traditional
"{AA5EFBB0-37F0-C5DD-83D2-5F640B13D3D2}" = Catalyst Control Center Localization Chinese Standard
"{B29AD377-CC12-490A-A480-1452337C618D}" = Connect
"{B9351146-1698-2499-4E54-19ECF431CEDD}" = Catalyst Control Center Localization Dutch
"{BB3AB664-D92B-4CB5-8B3E-D841841F4E68}" = Canon Camera WIA Driver
"{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module
"{BB5202A5-B5B4-4899-ADD9-984EA71FA979}" = Catalyst Control Center - Branding
"{BD3374D3-C2E6-42B7-A80B-E850B6886246}" = Adobe Flash CS4 STI-other
"{BFDB9EA8-8702-DA9B-CBC9-AFD5A6DE90E0}" = CCC Help French
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C25FB8AC-28C5-2D16-BB2A-3D6F3C655139}" = CCC Help Chinese Standard
"{C3892DEE-92FE-3F4F-2671-3F976FA6EDFA}" = CCC Help Italian
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3
"{C6812939-B117-48E6-A3BA-1709C14A3C8C}" = Scan
"{C8753E28-2680-49BF-BD48-DD38FD086EFE}" = AiO_Scan_CDA
"{CA6B5688-33FC-65C9-073A-106F8FEF8852}" = Catalyst Control Center Core Implementation
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BD}" = WinZip 14.5
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D197BFB1-888D-AC9A-5369-E7C86FB13D6C}" = CCC Help Norwegian
"{D2FA7AD0-CA46-688D-F7B5-FB4892B3A43F}" = ccc-core-static
"{DEB90B8E-0DCB-48CE-B90E-8842A2BD643E}" = Adobe Media Encoder CS4
"{E5FCED12-3E77-4C0E-A305-5AEB38A52A70}" = AdobeColorCommonSetCMYK
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{EED50C97-C79E-4149-BD82-7C5A22437708}" = Adobe Setup
"{EF61428A-558F-721D-A6A3-20DE39168A50}" = Catalyst Control Center Localization Swedish
"{F03A0F69-A627-2593-E6A8-E6439357D32F}" = Catalyst Control Center Graphics Full New
"{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3D7915D-6B42-49FA-9FC8-5020479A6A57}" = Nero Reloaded PlugIn Pack 2.0.4 by GEAR
"{F97CBB21-FEA1-9126-71E5-BC0B7D7C1036}" = CCC Help Japanese
"{FB7E67C0-0A16-45EC-551F-AC1960ACA371}" = Skins
"{FC3A9776-2239-193D-8F86-E97D79D49D27}" = Catalyst Control Center Localization Finnish
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Ask Toolbar_is1" = Foxit Toolbar
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CAL" = Canon Camera Access Library
"CameraWindowDVC5" = Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"CCleaner" = CCleaner
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"CSCLIB" = Canon Camera Support Core Library
"DivX Setup.divx.com" = DivX-Setup
"DPP" = Canon Utilities Digital Photo Professional 3.4
"EOS Utility" = Canon Utilities EOS Utility
"FileZilla Client" = FileZilla Client 3.3.5.1
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition
"Foxit Reader" = Foxit Reader
"Free YouTube Download_is1" = Free YouTube Download version 2.10.31
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"Inkscape" = Inkscape 0.48.0
"InstallShield_{70014586-7BBA-4A92-A610-CDC896C48F8F}" = NETGEAR WG311v3 PCI Adapter
"InstallShield_{BB3AB664-D92B-4CB5-8B3E-D841841F4E68}" = Canon EOS 5D WIA-Treiber
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MIDI TO WAV MAKER_is1" = MIDI TO WAV MAKER version 2.21
"MozBackup" = MozBackup 1.4.9
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)
"MyCamera" = Canon Utilities MyCamera
"OnlineArmor_is1" = Online Armor 4.0
"Original Data Security Tools" = Canon Utilities Original Data Security Tools
"PhotoStitch" = Canon Utilities PhotoStitch
"Picture Style Editor" = Canon Utilities Picture Style Editor
"RAW Image Task" = Canon RAW Image Task for ZoomBrowser EX
"Recuva" = Recuva
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"Tablet Driver" = Tablett
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.1.8
"WFTK" = Canon Utilities WFT-E1/E2/E3 Utility
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinRAR archiver" = WinRAR Archivierer
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"9c93bd89373d9a33" = Commission Manager
"Winamp Detect" = Winamp Detector Plug-in
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 26.07.2010 15:22:25 | Computer Name = HOME | Source = ESENT | ID = 439
Description = Catalog Database (992) Die Shadowkopfzeile für Datei C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
konnte nicht geschrieben werden. Fehler -1032.
Error - 26.07.2010 15:22:25 | Computer Name = HOME | Source = ESENT | ID = 485
Description = svchost (992) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\tmp.edb"
zu löschen, ist mit Systemfehler 5 (0x00000005): "Zugriff verweigert " fehlgeschlagen.
Fehler -1032 (0xfffffbf8) beim Löschen von Dateien.
Error - 26.07.2010 15:22:25 | Computer Name = HOME | Source = ESENT | ID = 454
Description = Catalog Database (992) Bei Datenbankwiederherstellung trat ein unerwarteter
Fehler -1032 auf.
Error - 03.09.2010 07:57:01 | Computer Name = HOME | Source = ESENT | ID = 490
Description = svchost (948) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 03.09.2010 07:57:01 | Computer Name = HOME | Source = ESENT | ID = 455
Description = Catalog Database (948) Fehler -1032 (0xfffffbf8) beim Öffnen von Protokolldatei
C:\WINDOWS\system32\CatRoot2\edb.log.
Error - 12.09.2010 13:33:23 | Computer Name = HOME | Source = ESENT | ID = 490
Description = svchost (948) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\edb.log"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 21.09.2010 03:19:28 | Computer Name = HOME | Source = ESENT | ID = 490
Description = svchost (992) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 22.09.2010 02:40:42 | Computer Name = HOME | Source = ESENT | ID = 490
Description = svchost (988) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 23.09.2010 13:42:33 | Computer Name = HOME | Source = ESENT | ID = 490
Description = svchost (992) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 05.10.2010 02:32:42 | Computer Name = HOME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.3909,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0000100b.
[ System Events ]
Error - 27.05.2011 08:00:14 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:00:16 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:01:03 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:01:06 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:02:46 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:02:49 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:04:23 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 27.05.2011 08:04:25 | Computer Name = HOME | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Verbatim STORE N GO USB Device nicht laden.
Error - 28.05.2011 07:17:34 | Computer Name = HOME | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "D:" aus.
Error - 28.05.2011 07:17:34 | Computer Name = HOME | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
Sie chkdsk auf Volume "D:" aus.
< End of report >
Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-05-31 03:46:41
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP1614C rev.SW100-27
Running: fr8hnknu.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pgldipow.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwAllocateVirtualMemory [0xA3CACED0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwAssignProcessToJobObject [0xA3CAD700]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwConnectPort [0xA3CAADA0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwCreateFile [0xA3CBA9C0]
SSDT BA6C942E ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwCreatePort [0xA3CAA8E0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwCreateProcess [0xA3CA7620]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwCreateProcessEx [0xA3CA7A30]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwCreateSection [0xA3CA6EF0]
SSDT BA6C9424 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwDebugActiveProcess [0xA3CA9B90]
SSDT BA6C9433 ZwDeleteKey
SSDT BA6C943D ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwDuplicateObject [0xA3CAA6F0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwLoadDriver [0xA3CAC490]
SSDT BA6C9442 ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwOpenFile [0xA3CBB040]
SSDT BA6C9410 ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwOpenSection [0xA3CA7310]
SSDT BA6C9415 ZwOpenThread
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwProtectVirtualMemory [0xA3CAD350]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwQueryDirectoryFile [0xA3CACA70]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwQueueApcThread [0xA3CAD8A0]
SSDT BA6C944C ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwRequestPort [0xA3CAB9A0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwRequestWaitReplyPort [0xA3CABF90]
SSDT BA6C9447 ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwResumeThread [0xA3CAA340]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwSecureConnectPort [0xA3CAB190]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwSetContextThread [0xA3CA9970]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwSetSystemInformation [0xA3CA9D30]
SSDT BA6C9438 ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwShutdownSystem [0xA3CAC370]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwSuspendProcess [0xA3CAA520]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwSuspendThread [0xA3CAA130]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwSystemDebugControl [0xA3CA9F40]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwTerminateProcess [0xA3CA8C80]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwTerminateThread [0xA3CA9760]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwUnloadDriver [0xA3CAC780]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Emsisoft) ZwWriteVirtualMemory [0xA3CAD520]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2C9C 80504538 12 Bytes [E0, A8, CA, A3, 20, 76, CA, ...] {LOOPNZ 0xffffffffffffffaa; RETF 0x20a3; JBE 0xffffffffffffffd1; MOV [0xa3ca7a30], EAX}
.text ntkrnlpa.exe!ZwCallbackReturn + 2FD8 80504874 12 Bytes [20, A5, CA, A3, 30, A1, CA, ...]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB8F50000, 0x198FE0, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\wdfmgr.exe[236] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Avira\AntiVir Desktop\avshadow.exe[464] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\system32\csrss.exe[552] KERNEL32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\winlogon.exe[584] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\services.exe[628] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text ...
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D30001
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe[772] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\Ati2evxx.exe[832] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\svchost.exe[848] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\svchost.exe[900] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\System32\svchost.exe[948] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\svchost.exe[1020] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00CA0001
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] KERNEL32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] KERNEL32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] KERNEL32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] user32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] advapi32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F1B0F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] advapi32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F1E0F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[1028] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\Ati2evxx.exe[1092] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\wscntfy.exe[1196] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B60001
.text C:\WINDOWS\system32\wscntfy.exe[1196] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\wscntfy.exe[1196] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wscntfy.exe[1196] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\system32\wscntfy.exe[1196] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\wscntfy.exe[1196] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\system32\wscntfy.exe[1196] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\system32\wscntfy.exe[1196] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\svchost.exe[1404] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\Explorer.EXE[1424] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01BC0001
.text C:\WINDOWS\Explorer.EXE[1424] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[1424] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[1424] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\Explorer.EXE[1424] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\Explorer.EXE[1424] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\Explorer.EXE[1424] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\Explorer.EXE[1424] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text D:\Programme\Online Armor\OAcat.exe[1532] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\spoolsv.exe[1744] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\WINDOWS\system32\Tablet.exe[1784] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\system32\svchost.exe[1832] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe[1956] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71AF003D
.text ...
.text C:\WINDOWS\system32\ctfmon.exe[2112] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C70001
.text C:\WINDOWS\system32\ctfmon.exe[2112] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\ctfmon.exe[2112] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[2112] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\system32\ctfmon.exe[2112] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\system32\ctfmon.exe[2112] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\system32\ctfmon.exe[2112] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\ctfmon.exe[2112] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C80001
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\system32\WTablet\TabUserW.exe[2360] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\Canon\CAL\CALMAIN.exe[2468] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\system32\Tablet.exe[2632] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C80001
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[2656] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00ED0001
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F1B0F5A
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F1E0F5A
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2692] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2896] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\System32\alg.exe[3068] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\System32\svchost.exe[3164] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\RTHDCPL.EXE[3428] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01DC0001
.text C:\WINDOWS\RTHDCPL.EXE[3428] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\RTHDCPL.EXE[3428] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\RTHDCPL.EXE[3428] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\WINDOWS\RTHDCPL.EXE[3428] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\RTHDCPL.EXE[3428] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\RTHDCPL.EXE[3428] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\RTHDCPL.EXE[3428] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01210001
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] ADVAPI32.DLL!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] ADVAPI32.DLL!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Program Files\ASUS\Six Engine\SixEngine.exe[3484] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01410001
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] iphlpapi.dll!IcmpSendEcho 76D24B79 6 Bytes JMP 5F190F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\NETGEAR\WG311v3\wlancfg5.exe[3636] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D20001
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3644] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00CA0001
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] KERNEL32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] KERNEL32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] KERNEL32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] user32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] advapi32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] advapi32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3684] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01000001
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 71B0003D
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 5F130F5A
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 5F160F5A
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe[3800] IPHLPAPI.DLL!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
Device \Driver\Tcpip \Device\Ip OAmon.sys (TDI Helper Driver/Emsisoft)
Device \Driver\Tcpip \Device\Tcp OAmon.sys (TDI Helper Driver/Emsisoft)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
Device \Driver\Tcpip \Device\Udp OAmon.sys (TDI Helper Driver/Emsisoft)
Device \Driver\Tcpip \Device\RawIp OAmon.sys (TDI Helper Driver/Emsisoft)
Device \Driver\Tcpip \Device\IPMULTICAST OAmon.sys (TDI Helper Driver/Emsisoft)
---- EOF - GMER 1.0.15 ----
|
|
31.05.2011, 20:26
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojan.BankerBot.GenZitat:
__________________ |
|
01.06.2011, 00:50
| #3 |
| | Trojan.BankerBot.Gen Natürlich:
__________________der Log von damals (ich hatte es gerade auf eine neue Version abgedatet?) Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6683
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26.05.2011 13:24:10
mbam-log-2011-05-26 (13-24-10).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 149530
Laufzeit: 4 Minute(n), 42 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\xxx\eigene dateien\downloads\rkill.com (Trojan.BankerBot.Gen) -> Quarantined and deleted successfully.
und der neuste von eben: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6737
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
01.06.2011 01:48:48
mbam-log-2011-06-01 (01-48-48).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 153967
Laufzeit: 3 Minute(n), 34 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
01.06.2011, 09:36
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.BankerBot.GenZitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.06.2011, 16:15
| #5 |
| | Trojan.BankerBot.Gen hier der vollständige scan: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6743
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
01.06.2011 16:59:38
mbam-log-2011-06-01 (16-59-38).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 317992
Laufzeit: 1 Stunde(n), 23 Minute(n), 56 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6717
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
29.05.2011 23:41:03
mbam-log-2011-05-29 (23-41-03).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 153418
Laufzeit: 2 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
01.06.2011, 20:34
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.BankerBot.Gen Keine Funde. Hast du jetztz nur gepostet weil angeblich in rkill ein Banker.bot stecken soll? 
__________________ --> Trojan.BankerBot.Gen |
|
01.06.2011, 21:20
| #7 |
| | Trojan.BankerBot.Gen ich war mir nicht sicher, weil die Internetverbindung die letzte Zeit schlecht geworden ist, aber es hat anscheinend andere Gründe. Aber ich habe auch bei anderen Threads denselben Fund gesehen und dort hatte derjenige anscheinend irgendwas gehabt.. Tut mir leid falls es zu viel Mühe bereitet hat! |
|
01.06.2011, 22:12
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.BankerBot.Gen Nein das soll kein Vorwurf sein, ich wollte nur Anhaltspunkte wissen, dann kann ich gezielter in Log schauen bzw. hätte dann eine Vorstellung davon warum man keine Auffälligkeiten sieht 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.06.2011, 22:46
| #9 |
| | Trojan.BankerBot.Gen okay, das freut mich! es wäre ja gut wenn da wirklich nichts wäre, letztes jahr musste ich mein rechner neu beschaffen.. |
|
| Themen zu Trojan.BankerBot.Gen |
| 0x00000001, adblock, akamai, antivir, askbar, avira, bho, c:\windows\system32\services.exe, canon, ccc.exe, emsisoft, error, fehler, firefox, flash player, helper, hijack, home, kaspersky, logfile, mom.exe, mozilla, mozilla thunderbird, netgear, nodrives, ntdll.dll, officejet, oldtimer, online armor, pixel, plug-in, prozess, realtek, recuva, registry, reverse, rundll, searchplugins, security, shell32.dll, software, studio, svchost, svchost.exe, trojan.bankerbot.gen, warum, windows internet, zugriff verweigert |
