|
Firefox öffnet Werbetabs&Internet Explorer öffnet sich selbstständig Hallo zusammen, Die Überschrift meines Threads beschreibt mein Problem eigentlich relativ treffend: Sowohl Firefox (mein Standard-Browser) als auch der Internet Explorer öffnen (in neuen Tabs bzw als neues Browserfenster) verschiedene Werbe-Seiten, ohne dass eine Aktion von mir vorangegangen wäre. Ich habe natürlich einen Viren/Trojanerbefall vermutet und bin auf die Jagd gegangen, in erster Linie mit Trend Micro Internet Security (meinem Standard-Anivirenprogramm). Trotz vorher regelmäßiger Scans (ohne Befunde) wurden dieses Mal direkt dutzende Trojaner verschiedenster Ausführungen gefunden, allerdings konnte mein Virenscanner diese alle wieder loswerden (hat er zumindest behauptet, glauben tu ichs auch nicht ... allerdings hab ich deshalb leider keine Liste dessen, was ich zwischendurch alles gefunden hatte). Da allerdings das obige Problem weiterhin besteht, und zudem immer wieder neue Trojaner auftauchen, gehe ich davon aus, dass die Quelle allen Übels noch auf meinem Rechner ist, und wende mich hier jetzt als letzte Rettung an euch - in der Hoffnung, dass ich vielleicht irgendwie doch noch um neu Aufsetzen herumkommen kann. Ich habe natürlich die anderen Beiträge hier im Forum bzw auch ähnliche Problemschilderungen im Netz gefunden, aber da die Problemlösungen mir jeweils sehr individuell schienen, und das "anhängen" an andere Beiträge vermutlich nicht erwünscht ist, habe ich lieber einen neuen Beitrag eröffnet. Sollte ich die Problemlösung in einem anderen Thread 1:1 ebenfalls verwenden können, wäre ich für diesen Hinweis sehr dankbar :) Es folgen die diversen gefordeten Logfiles: MBAM: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 02.05.2010 19:56:27 mbam-log-2010-05-02 (19-56-27).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 121220 Laufzeit: 9 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 7 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{a9722a0d-365f-47d2-b70b-37d046316d99} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully. C:\Programme\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully. C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0 (Adware.SmartAds) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezLife (Adware.EzLife) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully. C:\Programme\ezLife (Adware.EzLife) -> Quarantined and deleted successfully. C:\Programme\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\ezLife\ezLife\log.xml (Adware.EzLife) -> Quarantined and deleted successfully. _____________________________________________________________ _____________________________________________________________ RSIT: _____________________________________________________________ Info: info.txt logfile of random's system information tool 1.06 2010-05-02 19:59:42 ======Uninstall list====== -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974} -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe AIR-->c:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E} Adobe Anchor Service CS4-->MsiExec.exe /I{1618734A-3957-4ADD-8199-F973763109A8} Adobe Bridge CS4-->MsiExec.exe /I{83877DB1-8B77-45BC-AB43-2BAC22E093E0} Adobe CMaps CS4-->MsiExec.exe /I{94D398EB-D2FD-4FD1-B8C4-592635E8A191} Adobe Color - Photoshop Specific CS4-->MsiExec.exe /I{3D2C9DE6-9ADE-4252-A241-E43723B0CE02} Adobe Color EU Recommended Settings CS4-->MsiExec.exe /I{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1} Adobe Color JA Extra Settings CS4-->MsiExec.exe /I{0D6013AB-A0C7-41DC-973C-E93129C9A29F} Adobe Color NA Extra Settings CS4-->MsiExec.exe /I{098A2A49-7CF3-4F08-A38D-FB879117152A} Adobe Color Video Profiles CS CS4-->MsiExec.exe /I{63C24A08-70F3-4C8E-B9FB-9F21A903801D} Adobe CSI CS4-->MsiExec.exe /I{0F723FC1-7606-4867-866C-CE80AD292DAF} Adobe Default Language CS4-->MsiExec.exe /I{C52E3EC1-048C-45E1-8D53-10B0C6509683} Adobe Device Central CS4-->MsiExec.exe /I{67F0E67A-8E93-4C2C-B29D-47C48262738A} Adobe Drive CS4-->MsiExec.exe /I{16E16F01-2E2D-4248-A42F-76261C147B6C} Adobe ExtendScript Toolkit CS4-->MsiExec.exe /I{F8EF2B3F-C345-4F20-8FE4-791A20333CD5} Adobe Extension Manager CS4-->MsiExec.exe /I{054EFA56-2AC1-48F4-A883-0AB89874B972} Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Fonts All-->MsiExec.exe /I{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794} Adobe InDesign CS4 Application Feature Set Files (Roman)-->MsiExec.exe /I{2BAF2B96-7560-48B4-87D4-10178DDBE217} Adobe InDesign CS4 Common Base Files-->MsiExec.exe /I{7CC7BDD5-6F10-4724-96A1-EAC7D9F2831C} Adobe InDesign CS4 Icon Handler-->MsiExec.exe /I{1E04CB54-AF4E-4AC3-B4B7-C0A160BE57F1} Adobe InDesign CS4-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\1710d324011afc3e7658e969025f4ba\Setup.exe --uninstall=1 Adobe InDesign CS4-->MsiExec.exe /I{1DCA3EAA-6EB5-4563-A970-EA14D75037BA} Adobe Linguistics CS4-->MsiExec.exe /I{931AB7EA-3656-4BB7-864D-022B09E3DD67} Adobe Media Player-->msiexec /qb /x {39F6E2B4-CFE8-C30A-66E8-489651F0F34C} Adobe Media Player-->MsiExec.exe /I{39F6E2B4-CFE8-C30A-66E8-489651F0F34C} Adobe Output Module-->MsiExec.exe /I{BB4E33EC-8181-4685-96F7-8554293DEC6A} Adobe PDF Library Files CS4-->MsiExec.exe /I{F93C84A6-0DC6-42AF-89FA-776F7C377353} Adobe Photoshop CS4 Support-->MsiExec.exe /I{63E5CDBF-8214-4F03-84F8-CD3CE48639AD} Adobe Photoshop CS4-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\faf656ef605427ee2f42989c3ad31b8\Setup.exe --uninstall=1 Adobe Photoshop CS4-->MsiExec.exe /I{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494} Adobe Photoshop CS4-->MsiExec.exe /I{E4848436-0345-47E2-B648-8B522FCDA623} Adobe Reader 9.3.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001} Adobe Search for Help-->MsiExec.exe /I{F0E64E2E-3A60-40D8-A55D-92F6831875DA} Adobe Service Manager Extension-->MsiExec.exe /I{4943EFF5-229F-435D-BEA9-BE3CAEA783A7} Adobe Setup-->MsiExec.exe /I{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23} Adobe Setup-->MsiExec.exe /I{CA1CA5F8-7500-45C5-9D4C-47D13FBC92D2} Adobe SGM CS4-->MsiExec.exe /I{15BF7AAF-846C-4A6D-80E1-5D1FC7FB461B} Adobe SING CS4-->MsiExec.exe /I{4A52555C-032A-4083-BDD9-6A85ABFB39A8} Adobe Type Support CS4-->MsiExec.exe /I{820D3F45-F6EE-4AAF-81EF-CE21FF21D230} Adobe Update Manager CS4-->MsiExec.exe /I{05308C4E-7285-4066-BAE3-6B50DA6ED755} Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF} Adobe XMP Panels CS4-->MsiExec.exe /I{3A4E8896-C2E7-4084-A4A4-B8FD1894E739} AdobeColorCommonSetCMYK-->MsiExec.exe /I{68243FF8-83CA-466B-B2B8-9F99DA5479C4} AdobeColorCommonSetRGB-->MsiExec.exe /I{16E6D2C1-7C90-4309-8EC4-D2212690AAA4} Advertising Center-->MsiExec.exe /X{B2EC4A38-B545-4A00-8214-13FE0E915E6D} Apple Application Support-->MsiExec.exe /I{553255F3-78FD-40F1-A6F8-6882140265FE} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} Audio CD Maker v6.0-->"C:\Programme\Audio CD Maker\unins000.exe" Borland Delphi 6-->MsiExec.exe /I{B7886D87-ADA4-46A0-8A8D-02AB16B9F95A} CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Connect-->MsiExec.exe /I{B29AD377-CC12-490A-A480-1452337C618D} Counter-Strike: Source-->MsiExec.exe /I{9580813D-94B1-4C28-9426-A441E2BB29A5} Day of Defeat: Source-->"C:\Programme\Steam\steam.exe" steam://uninstall/300 DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN Doomsday-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{69464949-AD9C-4C98-933F-C32FFC86F3C8}\setup.exe" -l0x7 Google Earth-->MsiExec.exe /X{08C0729E-3E50-11DF-9D81-005056806466} Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Hamachi 1.0.3.0-->C:\Programme\Hamachi\uninstall.exe Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" Hotfix für Windows XP (KB979306)-->"C:\WINDOWS\$NtUninstallKB979306$\spuninst\spuninst.exe" ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} JDownloader-->C:\Programme\JDownloader\uninstall.exe kuler-->MsiExec.exe /I{098727E1-775A-4450-B573-3F441F1CA243} LOTR The Return of the King tm-->C:\Programme\EA GAMES\LOTR The Return of the King tm\EAUninstall.exe Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Medieval II Total War-->C:\Programme\InstallShield Installation Information\{C0698BDA-0D29-40EE-8570-A31106DF9AB1}\setup.exe -runfromtemp -l0x0009 -removeonly Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-0407-0000-0000000FF1CE} /uninstall {26454C26-D259-4543-AA60-3189E09C5F76} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00A1-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00BA-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B} Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B} Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISER /dll OSETUP.DLL Microsoft Office Enterprise 2007-->MsiExec.exe /X{91120000-0030-0000-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165} Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045} Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787} Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0410-0000-0000000FF1CE} /uninstall {322296D4-1EAE-4030-9FBC-D2787EB25FA2} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c} Microsoft Visual J# .NET Redistributable Package 1.1-->MsiExec.exe /X{1A655D51-1423-48A3-B748-8F5A0BE294C8} Mozilla Firefox (3.6.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} Nero 9 Lite-->C:\Programme\Gemeinsame Dateien\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="XM2C-50A9-HH4M-0ZM8-4X06-9P25-5A46-618P-AH19-6647" Nero ControlCenter-->MsiExec.exe /X{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A} Nero Installer-->MsiExec.exe /X{E8A80433-302B-4FF1-815D-FCC8EAC482FF} Nero Online Upgrade-->MsiExec.exe /X{C81A2FE0-3574-00A9-CED4-BDAA334CBE8E} Nero StartSmart-->MsiExec.exe /X{7748AC8C-18E3-43BB-959B-088FAEA16FB2} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974} PDF Settings CS4-->MsiExec.exe /I{35D94F92-1D3A-43C5-8605-EA268B1A7BD9} PDFCreator-->C:\Programme\PDFCreator\unins000.exe Photoshop Camera Raw-->MsiExec.exe /I{CC75AB5C-2110-4A7F-AF52-708680D22FE8} QuickTime-->MsiExec.exe /I{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD} REALTEK GbE & FE Ethernet PCI-E NIC Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe" -l0x7 -removeonly Roadkil's Unstoppable Copier Version 4.2-->"C:\Programme\Roadkil.Net\unins000.exe" Schulschriften-->C:\WINDOWS\unin0407.exe -f"C:\Programme\Will Software\Schulschriften\DeIsL1.isu" -c"C:\Programme\Will Software\Schulschriften\_ISREG32.DLL" Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08} Security Update for 2007 Microsoft Office System (KB978380)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {667A88D1-0369-4070-A62A-70672D68A9BF} Security Update for Microsoft Office Excel 2007 (KB978382)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {6DE3DABF-0203-426B-B330-7287D1003E86} Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0} Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D} Security Update for Microsoft Office Publisher 2007 (KB980470)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {34573F17-DADE-4D0D-835F-A54A1DE8AC1F} Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF} Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C} Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC} Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D} Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050} Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)-->"C:\WINDOWS\ie8updates\KB978207-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)-->"C:\WINDOWS\ie8updates\KB981332-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB979402)-->"C:\WINDOWS\$NtUninstallKB979402_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971468)-->"C:\WINDOWS\$NtUninstallKB971468$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975560)-->"C:\WINDOWS\$NtUninstallKB975560$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975561)-->"C:\WINDOWS\$NtUninstallKB975561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975713)-->"C:\WINDOWS\$NtUninstallKB975713$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB977165-v2)-->"C:\WINDOWS\$NtUninstallKB977165-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB977816)-->"C:\WINDOWS\$NtUninstallKB977816$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB977914)-->"C:\WINDOWS\$NtUninstallKB977914$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB978037)-->"C:\WINDOWS\$NtUninstallKB978037$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB978251)-->"C:\WINDOWS\$NtUninstallKB978251$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB978262)-->"C:\WINDOWS\$NtUninstallKB978262$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB978338)-->"C:\WINDOWS\$NtUninstallKB978338$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB978601)-->"C:\WINDOWS\$NtUninstallKB978601$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB978706)-->"C:\WINDOWS\$NtUninstallKB978706$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB979309)-->"C:\WINDOWS\$NtUninstallKB979309$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB979683)-->"C:\WINDOWS\$NtUninstallKB979683$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB980232)-->"C:\WINDOWS\$NtUninstallKB980232$\spuninst\spuninst.exe" SopCast 3.2.9-->C:\Programme\SopCast\uninst.exe SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe" Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3} Suite Shared Configuration CS4-->MsiExec.exe /I{842B4B72-9E8F-4962-B3C1-1C422A5C4434} TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe TEC-IT Barcode Studio 9.4-->MsiExec.exe /X{5F6231BD-F499-4ED7-A9E1-3FFC339BAEEC} Trend Micro Internet Security-->C:\Programme\Trend Micro\Internet Security\remove.exe Trend Micro Internet Security-->MsiExec.exe /X{A621B45A-D138-4A95-BE10-7CABA05EF94E} Ultimate AI-->C:\Programme\SEGA\Medieval II Total War\uaiuinst.exe Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D} Update for 2007 Microsoft Office System (KB981715)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {661B3F32-FFE4-4606-AE3A-DFA11DCC0D79} Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7} Update for Microsoft Office OneNote 2007 (KB980729)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {329050A9-EF80-40F9-B633-74508F54C1FF} Update for Outlook 2007 Junk Email Filter (kb981433)-->msiexec /package {91120000-0030-0000-0000-0000000FF1CE} /uninstall {5A6859A6-042D-4DF7-84E2-79F8DEFB5D48} Update für Windows Internet Explorer 8 (KB976662)-->"C:\WINDOWS\ie8updates\KB976662-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB980182)-->"C:\WINDOWS\ie8updates\KB980182-IE8\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} VLC media player 1.0.1-->C:\Programme\VideoLAN\VLC\uninstall.exe Wecker für Windows 6.5-->C:\Programme\Wecker6\unins000.exe Winamp-->"C:\Programme\Winamp\UninstWA.exe" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe WinUHA 2.0 RC1 (2005.02.27)-->C:\Programme\WinUHA\unins000.exe World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe Xfire (remove only)-->"C:\Programme\Xfire\uninst.exe" Zoner Barcode Studio 2-->MsiExec.exe /I{C0959742-5DEB-453B-A55C-528AA0EBA103} ======Security center information====== AV: Trend Micro Internet Security FW: Trend Micro Personal Firewall ======System event log====== Computer Name: ****** Event Code: 7036 Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt". Record Number: 42887 Source Name: Service Control Manager Time Written: 20100323065009.000000+060 Event Type: Informationen User: Computer Name: ** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet. Record Number: 42886 Source Name: Service Control Manager Time Written: 20100323065004.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ** Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 42885 Source Name: Service Control Manager Time Written: 20100323065004.000000+060 Event Type: Informationen User: Computer Name: ** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet. Record Number: 42884 Source Name: Service Control Manager Time Written: 20100323065004.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ** Event Code: 7036 Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 42883 Source Name: Service Control Manager Time Written: 20100323065004.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: ** Event Code: 1000 Message: Fehlgeschlagene Anwendung settlershok.exe, Version 1.2.189.0, fehlgeschlagenes Modul ~df394b.tmp, Version 0.0.0.0, Fehleradresse 0x000c486b. Record Number: 193 Source Name: Application Error Time Written: 20090824150205.000000+120 Event Type: Fehler User: Computer Name: ** Event Code: 4097 Message: Die Anwendung "C:\Programme\Ubisoft\Blue Byte\DIE SIEDLER - Das Erbe der Könige\extra1\bin\SettlersHoK.exe" hat einen Programmfehler verursacht. Datum und Zeit des Fehlers: 24.08.2009 um 15:01:23.906 Ausnahme: c0000005 an Adresse 667C486B (~df394b!CModuleMonitor__IsModuleWithinLimits) Record Number: 192 Source Name: DrWatson Time Written: 20090824150123.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 1000 Message: Fehlgeschlagene Anwendung settlershok.exe, Version 1.2.189.0, fehlgeschlagenes Modul ~df394b.tmp, Version 0.0.0.0, Fehleradresse 0x000c486b. Record Number: 191 Source Name: Application Error Time Written: 20090824150116.000000+120 Event Type: Fehler User: Computer Name: ** Event Code: 4097 Message: Die Anwendung "C:\Programme\Ubisoft\Blue Byte\DIE SIEDLER - Das Erbe der Könige\extra1\bin\SHoKMapEditor.exe" hat einen Programmfehler verursacht. Datum und Zeit des Fehlers: 24.08.2009 um 14:59:54.546 Ausnahme: c0000005 an Adresse 667C486B (~df394b!CModuleMonitor__IsModuleWithinLimits) Record Number: 190 Source Name: DrWatson Time Written: 20090824145954.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 1000 Message: Fehlgeschlagene Anwendung shokmapeditor.exe, Version 1.2.49.0, fehlgeschlagenes Modul ~df394b.tmp, Version 0.0.0.0, Fehleradresse 0x000c486b. Record Number: 189 Source Name: Application Error Time Written: 20090824145953.000000+120 Event Type: Fehler User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\DivX Shared\;C:\PROGRA~1\Borland\Delphi6\Bin;C:\PROGRA~1\Borland\Delphi6\Projects\Bpl;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel "PROCESSOR_REVISION"=0f06 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- _____________________________________________________________ Log: Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2010-05-02 19:58:55 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 7 GB (6%) free of 114 GB Total RAM: 2047 MB (55% free) HijackThis download failed ======Scheduled tasks folder====== C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At100.job C:\WINDOWS\tasks\At101.job C:\WINDOWS\tasks\At102.job C:\WINDOWS\tasks\At103.job C:\WINDOWS\tasks\At104.job C:\WINDOWS\tasks\At105.job C:\WINDOWS\tasks\At106.job C:\WINDOWS\tasks\At107.job C:\WINDOWS\tasks\At108.job C:\WINDOWS\tasks\At109.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At110.job C:\WINDOWS\tasks\At111.job C:\WINDOWS\tasks\At112.job C:\WINDOWS\tasks\At113.job C:\WINDOWS\tasks\At114.job C:\WINDOWS\tasks\At115.job C:\WINDOWS\tasks\At116.job C:\WINDOWS\tasks\At117.job C:\WINDOWS\tasks\At118.job C:\WINDOWS\tasks\At119.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At120.job C:\WINDOWS\tasks\At121.job C:\WINDOWS\tasks\At122.job C:\WINDOWS\tasks\At123.job C:\WINDOWS\tasks\At124.job C:\WINDOWS\tasks\At125.job C:\WINDOWS\tasks\At126.job C:\WINDOWS\tasks\At127.job C:\WINDOWS\tasks\At128.job C:\WINDOWS\tasks\At129.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At130.job C:\WINDOWS\tasks\At131.job C:\WINDOWS\tasks\At132.job C:\WINDOWS\tasks\At133.job C:\WINDOWS\tasks\At134.job C:\WINDOWS\tasks\At135.job C:\WINDOWS\tasks\At136.job C:\WINDOWS\tasks\At137.job C:\WINDOWS\tasks\At138.job C:\WINDOWS\tasks\At139.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At140.job C:\WINDOWS\tasks\At141.job C:\WINDOWS\tasks\At142.job C:\WINDOWS\tasks\At143.job C:\WINDOWS\tasks\At144.job C:\WINDOWS\tasks\At145.job C:\WINDOWS\tasks\At146.job C:\WINDOWS\tasks\At147.job C:\WINDOWS\tasks\At148.job C:\WINDOWS\tasks\At149.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At150.job C:\WINDOWS\tasks\At151.job C:\WINDOWS\tasks\At152.job C:\WINDOWS\tasks\At153.job C:\WINDOWS\tasks\At154.job C:\WINDOWS\tasks\At155.job C:\WINDOWS\tasks\At156.job C:\WINDOWS\tasks\At157.job C:\WINDOWS\tasks\At158.job C:\WINDOWS\tasks\At159.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At160.job C:\WINDOWS\tasks\At161.job C:\WINDOWS\tasks\At162.job C:\WINDOWS\tasks\At163.job C:\WINDOWS\tasks\At164.job C:\WINDOWS\tasks\At165.job C:\WINDOWS\tasks\At166.job C:\WINDOWS\tasks\At167.job C:\WINDOWS\tasks\At168.job C:\WINDOWS\tasks\At169.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At170.job C:\WINDOWS\tasks\At171.job C:\WINDOWS\tasks\At172.job C:\WINDOWS\tasks\At173.job C:\WINDOWS\tasks\At174.job C:\WINDOWS\tasks\At175.job C:\WINDOWS\tasks\At176.job C:\WINDOWS\tasks\At177.job C:\WINDOWS\tasks\At178.job C:\WINDOWS\tasks\At179.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At180.job C:\WINDOWS\tasks\At181.job C:\WINDOWS\tasks\At182.job C:\WINDOWS\tasks\At183.job C:\WINDOWS\tasks\At184.job C:\WINDOWS\tasks\At185.job C:\WINDOWS\tasks\At186.job C:\WINDOWS\tasks\At187.job C:\WINDOWS\tasks\At188.job C:\WINDOWS\tasks\At189.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At190.job C:\WINDOWS\tasks\At191.job C:\WINDOWS\tasks\At192.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At25.job C:\WINDOWS\tasks\At26.job C:\WINDOWS\tasks\At27.job C:\WINDOWS\tasks\At28.job C:\WINDOWS\tasks\At29.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At30.job C:\WINDOWS\tasks\At31.job C:\WINDOWS\tasks\At32.job C:\WINDOWS\tasks\At33.job C:\WINDOWS\tasks\At34.job C:\WINDOWS\tasks\At35.job C:\WINDOWS\tasks\At36.job C:\WINDOWS\tasks\At37.job C:\WINDOWS\tasks\At38.job C:\WINDOWS\tasks\At39.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At40.job C:\WINDOWS\tasks\At41.job C:\WINDOWS\tasks\At42.job C:\WINDOWS\tasks\At43.job C:\WINDOWS\tasks\At44.job C:\WINDOWS\tasks\At45.job C:\WINDOWS\tasks\At46.job C:\WINDOWS\tasks\At47.job C:\WINDOWS\tasks\At48.job C:\WINDOWS\tasks\At49.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At50.job C:\WINDOWS\tasks\At51.job C:\WINDOWS\tasks\At52.job C:\WINDOWS\tasks\At53.job C:\WINDOWS\tasks\At54.job C:\WINDOWS\tasks\At55.job C:\WINDOWS\tasks\At56.job C:\WINDOWS\tasks\At57.job C:\WINDOWS\tasks\At58.job C:\WINDOWS\tasks\At59.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At60.job C:\WINDOWS\tasks\At61.job C:\WINDOWS\tasks\At62.job C:\WINDOWS\tasks\At63.job C:\WINDOWS\tasks\At64.job C:\WINDOWS\tasks\At65.job C:\WINDOWS\tasks\At66.job C:\WINDOWS\tasks\At67.job C:\WINDOWS\tasks\At68.job C:\WINDOWS\tasks\At69.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At70.job C:\WINDOWS\tasks\At71.job C:\WINDOWS\tasks\At72.job C:\WINDOWS\tasks\At73.job C:\WINDOWS\tasks\At74.job C:\WINDOWS\tasks\At75.job C:\WINDOWS\tasks\At76.job C:\WINDOWS\tasks\At77.job C:\WINDOWS\tasks\At78.job C:\WINDOWS\tasks\At79.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At80.job C:\WINDOWS\tasks\At81.job C:\WINDOWS\tasks\At82.job C:\WINDOWS\tasks\At83.job C:\WINDOWS\tasks\At84.job C:\WINDOWS\tasks\At85.job C:\WINDOWS\tasks\At86.job C:\WINDOWS\tasks\At87.job C:\WINDOWS\tasks\At88.job C:\WINDOWS\tasks\At89.job C:\WINDOWS\tasks\At9.job C:\WINDOWS\tasks\At90.job C:\WINDOWS\tasks\At91.job C:\WINDOWS\tasks\At92.job C:\WINDOWS\tasks\At93.job C:\WINDOWS\tasks\At94.job C:\WINDOWS\tasks\At95.job C:\WINDOWS\tasks\At96.job C:\WINDOWS\tasks\At97.job C:\WINDOWS\tasks\At98.job C:\WINDOWS\tasks\At99.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-04-04 75200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] Groove GFS Browser Helper - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-12 2217848] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-15 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-15 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2010-05-01 35844] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\smax4 .exe [2007-04-03 839680] "UfSeAgnt.exe"=C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe [2009-01-31 1398024] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-06-10 13758464] "nwiz"=nwiz.exe /install [] "AdobeCS4ServiceManager"=C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2010-05-01 35844] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-05-01 35844] "Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-05-01 35844] "QuickTime Task"=C:\Programme\QuickTime\qttask .exe [2010-03-17 421888] "Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2010-04-29 1090952] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2010-04-29 437584] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "AlcoholAutomount"=C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe [2009-04-24 203928] "ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-11-16 172792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2008-10-25 31072] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetFxUpdate_v1.1.4322] C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe [2004-08-10 106496] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll [2009-06-10 86016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] C:\Programme\Steam\Steam.exe [2010-04-28 1238352] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe [2009-08-15 149280] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\winampa.exe [2009-07-01 37888] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Dominik!^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk] C:\PROGRA~1\Wecker6\Wecker.exe [2004-09-01 1568768] C:\Dokumente und Einstellungen\Dominik!\Startmenü\Programme\Autostart Dropbox.lnk - C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-12 2217848] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f450ec4-1a24-11df-b926-0018f3084089}] shell\AutoRun\command - F:\Setup.exe ======List of files/folders created in the last 1 months====== 2015-08-24 14:48:37 ----D---- C:\Programme\Alcohol Soft 2010-05-02 19:58:55 ----D---- C:\rsit 2010-05-02 19:38:14 ----D---- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Malwarebytes 2010-05-02 19:38:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-05-02 19:37:59 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-05-02 12:26:48 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0ed4tg7Y.exe 2010-05-02 11:25:48 ----D---- C:\Programme\Spybot - Search & Destroy 2010-05-02 11:25:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-05-02 11:16:19 ----SHD---- C:\Config.Msi 2010-04-23 20:48:11 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire 2010-04-23 20:48:06 ----D---- C:\Programme\Xfire 2010-04-20 22:08:41 ----N---- C:\WINDOWS\system32\browserchoice.exe 2010-04-19 22:11:10 ----D---- C:\Programme\QuickTime 2010-04-19 22:11:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-04-16 22:30:30 ----A---- C:\WINDOWS\system32\xfcodec.dll 2010-04-15 07:21:28 ----HDC---- C:\WINDOWS\$NtUninstallKB979683$ 2010-04-15 07:21:20 ----HDC---- C:\WINDOWS\$NtUninstallKB980232$ 2010-04-15 07:21:13 ----HDC---- C:\WINDOWS\$NtUninstallKB979402_WM9$ 2010-04-15 07:18:25 ----HDC---- C:\WINDOWS\$NtUninstallKB978338$ 2010-04-15 07:18:20 ----HDC---- C:\WINDOWS\$NtUninstallKB977816$ 2010-04-14 21:21:18 ----HDC---- C:\WINDOWS\$NtUninstallKB978601$ 2010-04-14 21:21:11 ----HDC---- C:\WINDOWS\$NtUninstallKB979309$ 2010-04-10 18:41:03 ----D---- C:\Programme\SopCast ======List of files/folders modified in the last 1 months====== 2010-05-02 19:56:27 ----RD---- C:\Programme 2010-05-02 19:41:34 ----D---- C:\Programme\Steam 2010-05-02 19:38:05 ----D---- C:\WINDOWS 2010-05-02 19:38:01 ----D---- C:\WINDOWS\system32\drivers 2010-05-02 19:32:53 ----D---- C:\WINDOWS\Debug 2010-05-02 19:32:52 ----D---- C:\WINDOWS\Temp 2010-05-02 19:32:52 ----D---- C:\WINDOWS\Minidump 2010-05-02 19:32:47 ----D---- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox 2010-05-02 19:08:27 ----SD---- C:\WINDOWS\Tasks 2010-05-02 17:35:42 ----D---- C:\WINDOWS\Prefetch 2010-05-02 11:16:52 ----SHD---- C:\WINDOWS\Installer 2010-05-02 11:16:21 ----D---- C:\Programme\Gemeinsame Dateien\BinarySense 2010-05-02 10:36:56 ----D---- C:\WINDOWS\system32 2010-05-02 10:21:39 ----D---- C:\WINDOWS\system32\CatRoot2 2010-05-02 10:20:24 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-05-02 10:20:14 ----D---- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ 2010-05-02 00:48:11 ----N---- C:\WINDOWS\SchedLgU.Txt 2010-05-01 09:27:21 ----RSD---- C:\WINDOWS\Fonts 2010-04-28 22:58:11 ----D---- C:\Programme\Wecker6 2010-04-28 22:21:26 ----RASH---- C:\boot.ini 2010-04-28 22:21:26 ----N---- C:\WINDOWS\system.ini 2010-04-28 22:21:26 ----A---- C:\WINDOWS\win.ini 2010-04-28 22:21:25 ----D---- C:\WINDOWS\pss 2010-04-28 18:43:34 ----D---- C:\Programme\Gemeinsame Dateien\Akamai 2010-04-26 19:14:43 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2010-04-26 19:14:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-04-20 23:58:00 ----HD---- C:\WINDOWS\inf 2010-04-16 12:42:25 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2010-04-16 12:41:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2010-04-15 07:21:33 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-04-15 07:21:24 ----HD---- C:\WINDOWS\$hf_mig$ 2010-04-15 01:29:39 ----D---- C:\Programme\Google 2010-04-06 19:52:54 ----A---- C:\WINDOWS\system32\MRT.exe 2010-04-04 16:47:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 tmtdi;Trend Micro TDI Driver; C:\WINDOWS\system32\DRIVERS\tmtdi.sys [2008-02-15 65936] R2 adfs;adfs; C:\WINDOWS\system32\drivers\adfs.sys [2008-08-14 74720] R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-08-22 281760] R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-08-22 25888] R2 tmactmon;tmactmon; \??\C:\WINDOWS\system32\drivers\tmactmon.sys [] R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys [] R2 tmevtmgr;tmevtmgr; \??\C:\WINDOWS\system32\drivers\tmevtmgr.sys [] R2 tmpreflt;tmpreflt; C:\WINDOWS\system32\DRIVERS\tmpreflt.sys [2009-12-04 36368] R2 tmxpflt;tmxpflt; C:\WINDOWS\system32\DRIVERS\tmxpflt.sys [2009-12-04 230928] R2 vsapint;vsapint; C:\WINDOWS\system32\DRIVERS\vsapint.sys [2009-12-04 1322680] R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2007-05-18 304640] R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2007-05-18 94848] R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-11-16 25280] R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2004-10-27 138240] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-29 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-06-10 8087712] R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\System32\DRIVERS\Rtenicxp.sys [2006-06-28 81920] R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960] R3 tmcfw;Trend Micro Common Firewall Service; C:\WINDOWS\system32\DRIVERS\TM_CFW.sys [2008-02-15 333328] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608] S3 alvymtfo;alvymtfo; C:\WINDOWS\system32\drivers\alvymtfo.sys [] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 HDDlife HDD Access service;HDDlife HDD Access service; C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe [2009-08-19 822936] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-15 153376] R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-06-10 168004] R2 SfCtlCom;Trend Micro Central Control Component; C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe [2009-04-14 703008] R2 StarWindServiceAE;StarWind AE Service; C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [2007-05-28 275968] R2 TMBMServer;Trend Micro Unauthorized Change Prevention Service; C:\Programme\Trend Micro\BM\TMBMSRV.exe [2008-02-15 333064] R3 TmPfw;Trend Micro Personal Firewall; C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe [2009-04-14 488768] R3 tmproxy;Trend Micro Proxy Service; C:\Programme\Trend Micro\Internet Security\TmProxy.exe [2009-01-31 648456] S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2009-10-02 133104] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2010-03-13 655624] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2008-10-25 65888] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] -----------------EOF----------------- So, ich hoffe dass alles da ist, und bedanke mich schonmal vielmals bei demjenigen, der sich hier die Zeit nimmt und mir eventuell helfen kann! Grüße, Dingens. |
Hi, rate mal was die tasks machen: Code: ...Ausserdem wird wahrscheinlich ein Rootkit laufen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Hallo, schonmal vielen Dank für die schnelle Antwort. Der Scan hat zwar etwas länger gedauert (scheint einiges gewesen zu sein :>), aber hier der log: PS: Wenn ich wüsste, was mir diese logs sagen, würd ich nicht hier um Hilfe fragen ;) _________________________________________________________________ ComboFix 10-05-02.01 - Dominik! 02.05.2010 21:38:22.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1647 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Dominik!\Desktop\ComboFix.exe AV: Trend Micro Internet Security *On-access scanning disabled* (Updated) {7D2296BC-32CC-4519-917E-52E652474AF5} FW: Trend Micro Personal Firewall *disabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . PEV Error: UserFile (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\0ed4tg7Y.exe c:\dokumente und einstellungen\All Users\Dokumente\Settings c:\dokumente und einstellungen\All Users\Dokumente\Settings\hijackthis.log c:\programme\WindowsUpdate c:\windows\system32\sdra64.exe c:\windows\system32\uZQEtNDuIS.dll c:\windows\Tasks\At100.job Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-04-02 bis 2010-05-02 )))))))))))))))))))))))))))))) . 2015-08-24 12:48 . 2015-08-24 12:48 -------- d-----w- c:\programme\Alcohol Soft 2015-08-24 12:46 . 2015-08-24 12:46 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2010-05-02 17:58 . 2010-05-02 17:59 -------- d-----w- C:\rsit 2010-05-02 17:38 . 2010-05-02 17:38 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Malwarebytes 2010-05-02 17:38 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-05-02 17:38 . 2010-05-02 17:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-05-02 17:37 . 2010-05-02 17:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-05-02 17:37 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-05-02 09:25 . 2010-05-02 17:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-05-02 09:25 . 2010-05-02 09:27 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-05-02 08:36 . 2010-05-02 18:02 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-04-28 14:03 . 2010-03-17 20:36 1507328 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\cache\2010-05-02\Project1 (deleted 4ba13d5a-170000-1cd005d3d33).exe 2010-04-27 20:33 . 2010-04-27 20:33 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten 2010-04-23 18:48 . 2010-04-28 20:01 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Xfire 2010-04-23 18:48 . 2010-04-28 17:04 -------- d-----w- c:\programme\Xfire 2010-04-20 20:08 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe 2010-04-19 20:11 . 2010-05-01 07:27 -------- d-----w- c:\programme\QuickTime 2010-04-19 20:11 . 2010-04-19 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-04-16 20:30 . 2010-04-16 20:30 41872 ----a-w- c:\windows\system32\xfcodec.dll 2010-04-10 16:41 . 2010-04-10 16:41 -------- d-----w- c:\programme\SopCast . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-02 19:36 . 2010-01-08 16:49 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-05-02 17:41 . 2009-12-06 20:10 -------- d-----w- c:\programme\Steam 2010-05-02 17:36 . 2009-09-02 17:58 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox 2010-05-02 17:08 . 2010-05-01 07:25 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\re3L1BCI.dat 2010-05-02 09:16 . 2010-01-08 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\BinarySense 2010-05-02 08:20 . 2009-07-21 14:16 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ 2010-04-28 20:58 . 2009-10-10 05:05 -------- d-----w- c:\programme\Wecker6 2010-04-28 16:43 . 2010-03-13 13:04 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai 2010-04-26 17:14 . 2010-01-09 15:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-04-16 10:42 . 2009-08-03 10:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-04-14 23:29 . 2009-10-02 14:05 -------- d-----w- c:\programme\Google 2010-04-04 14:47 . 2009-08-02 13:12 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\vlc 2010-03-28 08:10 . 2002-08-29 12:00 64788 ----a-w- c:\windows\system32\perfc007.dat 2010-03-28 08:10 . 2002-08-29 12:00 394840 ----a-w- c:\windows\system32\perfh007.dat 2010-03-14 11:09 . 2010-03-13 12:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2010-03-13 20:35 . 2010-03-13 20:35 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Apple Computer 2010-03-13 12:59 . 2009-07-21 12:38 98152 ----a-w- c:\dokumente und einstellungen\Dominik!\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-13 12:50 . 2010-03-13 12:50 -------- d-----w- c:\programme\Adobe Media Player 2010-03-13 12:49 . 2010-03-13 12:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR 2010-03-13 12:44 . 2010-03-13 12:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2010-03-13 12:19 . 2010-03-13 11:22 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Download Manager 2010-03-13 11:07 . 2009-07-21 14:26 -------- d-----w- c:\programme\World of Warcraft 2010-03-13 10:46 . 2010-01-29 09:44 -------- d-----w- c:\programme\JDownloader 2010-03-13 10:41 . 2009-10-31 11:22 -------- d-----w- c:\programme\EA GAMES 2010-03-13 10:39 . 2009-07-21 11:47 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-03-13 10:38 . 2009-07-29 20:10 -------- d-----w- c:\programme\Ubisoft 2010-03-10 06:15 . 2002-08-29 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-02-26 07:47 . 2009-09-02 17:58 91696 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Uninstall.exe 2010-02-26 07:46 . 2010-02-26 07:46 13264416 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\cache\Dropbox-update-0.7.110.exe 2010-02-26 05:10 . 2010-02-26 05:10 21979992 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe 2010-02-25 06:15 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-24 13:11 . 2002-08-29 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-16 19:04 . 2002-08-29 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe 2010-02-16 19:04 . 2002-08-29 03:41 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-02-12 04:33 . 2002-08-29 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll 2010-02-11 12:02 . 2002-08-29 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys 2003-11-06 08:09 . 2010-01-03 11:06 2206317 ----a-w- c:\programme\Gemeinsame Dateien\Fontinfo.hlp 1996-04-09 21:47 . 2010-01-03 11:06 766 ----a-w- c:\programme\Gemeinsame Dateien\Will.ico 2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . Code: <pre>[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys [7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\System32\DRIVERS\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\programme\QuickTime\qttask .exe -atboottime" [X] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2010-05-01 35844] "UfSeAgnt.exe"="c:\programme\Trend Micro\Internet Security\UfSeAgnt.exe" [2009-01-31 1398024] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464] "nwiz"="nwiz.exe" [2009-06-10 1657376] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-05-01 35844] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-05-01 35844] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-05-01 35844] "Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Dominik!\Startmen\Programme\Autostart\ Dropbox.lnk - c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dominik!^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk] path=c:\dokumente und einstellungen\Dominik!\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk backup=c:\windows\pss\Wecker für Windows 6.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2008-10-25 10:44 31072 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetFxUpdate_v1.1.4322] 2004-08-10 15:20 106496 ----a-w- c:\windows\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 2009-06-10 06:28 86016 ----a-w- c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] c:\programme\QuickTime\qttask.exe [N/A] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] 2010-04-28 09:48 1238352 ----a-w- c:\programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-08-15 13:50 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2009-07-01 16:37 37888 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] "DisableMonitoring"=dword:00000001 R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [04.08.2009 02:28 52624] R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [15.02.2008 23:39 36368] R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [15.02.2008 23:39 333328] R3 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~1\TmPfw.exe [04.08.2009 02:28 488768] R3 tmproxy;Trend Micro Proxy Service;c:\programme\Trend Micro\Internet Security\TmProxy.exe [04.08.2009 02:28 648456] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [02.10.2009 16:05 133104] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.08.2015 14:46 721904] . Inhalt des "geplante Tasks" Ordners 2010-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-02 14:05] 2010-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-02 14:05] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://de.yahoo.com/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Mozilla\Firefox\Profiles\q17mbo88.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1084) c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll . Zeit der Fertigstellung: 2010-05-02 21:49:57 ComboFix-quarantined-files.txt 2010-05-02 19:49 Vor Suchlauf: 7.475.433.472 Bytes frei Nach Suchlauf: 7.475.965.952 Bytes frei - - End Of File - - 286E58890BC9FD0796BD9DEBB46B9CDA |
Hi, ds sieht schon recht ordentlich aus, MAM updaten und fullscan&alles bereinigen lassen und Log posten! Nochmal mit GMER prüfen (TDSS hängt normalerweise in mehr als einem Treiber)... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Falls Gmer abstürzt, bitte im abgesicherten Modus (F8 beim Booten) probieren... chris Ps.: Ich bin nur noch heute online, dann für den Rest der Woche unterwegs! |
So, MBAM läuft nu seit 30 min, bisher is auch dieser Werbemist nichtmehr aufgetaucht, ABER: Mein TrendMicro meldete gerade, dass er das Ausführen der folgenden Datei geblockt habe: 0ed4tg7Y.exe in C:\Dokumente und Einstellungen\All Users\Anwendungsdateien €: Die Meldung wiederholt sich in mehr oder weniger regelmäßigen Abständen, alle paar Minuten etwa. Klingt für mich so, als hätt ich da noch was ... wollts nur schonmal loswerden, die beiden geforderten Logs kommen, sobald der Scan durch ist. Gruß, Dingens EDIT 2: Die Meldungen gehen fröhlich weiter, jetzt wurde ein Virus gemeldet, der nicht entfernt werden konnte, nu aber scheinbar in Quarantäne steckt: A0065882.sys in C:\System Volume Information\_Restore{ganzlangezahlenundbuchstabenfolge, wenn nötig gibts die auch noch ...}\RP262\ |
Hi, poste unbedingt das MAM-Log, GMER im anschluß... Dann müssen wir tiefer graben: OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Hier schonmal MBAM, GMER kommt jetzt. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4060 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 03.05.2010 10:51:26 mbam-log-2010-05-03 (10-51-26).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 260475 Laufzeit: 1 Stunde(n), 21 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{2D027706-BDA8-44C7-B3BE-152C808770CB}\RP259\A0065043.dll (Adware.Adrotator) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2D027706-BDA8-44C7-B3BE-152C808770CB}\RP259\A0065045.exe (Adware.Adrotator) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2D027706-BDA8-44C7-B3BE-152C808770CB}\RP259\A0065210.dll (Adware.BHO) -> Quarantined and deleted successfully. Vielen Dank nochmals! |
Hi, die Systemwiederherstellung muss noch bereinigt werden, bzw. ausgeschaltet werden: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder) (das aber erst später, wenn die Bereinigung erfolgreich war!)... Was macht GMER und OTL? chris |
GMER scant sich an irgendwelchen Bildern tot ... schon fast 2h nu. Versteh ich dich richtig, dass ich (nach der ganzen Aktion) einfach alle Systemwiederherstellungspunkte löschen soll? |
Hi, ja, dann unbeding das OTL-Log posten ... chris |
.. und er scant immer noch ... (also er hat sich nicht aufgehängt, die pfade ändern sich laufend, aber langsam ... das sind nu 4h oder so ://) E: GMER abbrechen und das andere anmachen? oder weiterlaufen lassen? |
Hi, hat er am Anfang beim "Schnellscan" was gefunden (wahrscheinlich nicht)... und erscheint die Malware immer noch (wird gefunden)...? chris |
er hat beim Start nichts gemeldet, in den ersten paar Minuten des Scannens aber etwa 20 Einträge gefunden. Seitdem nix neues dazu gekommen. |
und er scant immer noch ... keine neuen Funde außer denen vom Anfang immer noch ... |
Hi, was findet er denn und wo? Poste mal ein Beispiel... chris |
Bsp. rund ein Dutzend Einträger der folgenden Sorte: Type: "Reg" Name: "HKLM\System\ControlSet002\Services\sptd\cfg\ewiglangezahlenfolge" Unter Value dann ebenfalls irgendwelche Buchstaben und Zahlenfolgen, ab und an auch garnix. KAnn leider nix kopieren, weil am anderen Rechner und ich den Scanner am eigentlichen nicht abschießen will. Wenn Details wichtig sind, schreib ich halt ab und stell hier rein. Dazu noch einige unterschiedliche Meldungen, bsp von type "attatched device" mehrere |
Hi, das sieht nach Daemontools aus... Werde heute abend noch mal online gehen, bin dann halt bis Freitag unterwegs... Lass Ihn mal bis 20:00 uhr laufen, dann OTL... chris |
Alles klar, dann lass ich ihn mal ... :) Hoffe das ganze lässt sich irgendwie regeln, brauche den Rechner eigentlich wieder ... da sind einige Einmal-Softwarelizenzen am laufen, und ewig rumtelefonieren um die neu installieren zu dürfen mag ich nicht :// |
Hallo, ma, wie sieht es aus? chris |
na wunderbar ... vor 5 minuten war er noch am scannen, nu isser einfach ausgegangen. Fenster zu, nurnoch Desktop da, hab selber nix gemacht ... also nichtmal n Log da ... ich geh kaputt O.o ich mach dann nu mal das andere programm, hoffe das geht schneller ;) Grüße |
Hi, das geht schneller... dann lassen wir mal den TDSSKiller los, der findet (zwar nicht alle), aber doch so manchen TDSS... chris |
So, ging wirklich schnell :D OTL.txt: OTL logfile created on: 03.05.2010 20:22:12 - Run 1 OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Dominik!\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 78,00% Memory free 4,00 Gb Paging File | 4,00 Gb Available in Paging File | 94,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 111,80 Gb Total Space | 5,82 Gb Free Space | 5,20% Space Free | Partition Type: NTFS Drive D: | 3,86 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: DOMINIK Current User Name: Dominik! Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Dominik!\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Analog Devices\Core\smax4pnp.exe () PRC - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl .exe (Adobe Systems Incorporated) PRC - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe (Trend Micro Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\dwwin.exe (Microsoft Corporation) PRC - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software) PRC - C:\Programme\Analog Devices\Core\smax4pnp .exe (Analog Devices, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Dominik!\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (HDDlife HDD Access service) -- C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe (BinarySense, Inc.) SRV - (TmPfw) -- C:\Programme\Trend Micro\Internet Security\TmPfw.exe (Trend Micro Inc.) SRV - (SfCtlCom) -- C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe (Trend Micro Inc.) SRV - (tmproxy) -- C:\Programme\Trend Micro\Internet Security\TmProxy.exe (Trend Micro Inc.) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (TMBMServer) -- C:\Programme\Trend Micro\BM\TMBMSRV.exe (Trend Micro Inc.) SRV - (StarWindServiceAE) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys (Duplex Secure Ltd.) DRV - (tmxpflt) -- C:\WINDOWS\system32\drivers\tmxpflt.sys (Trend Micro Inc.) DRV - (tmpreflt) -- C:\WINDOWS\system32\drivers\tmpreflt.sys (Trend Micro Inc.) DRV - (vsapint) -- C:\WINDOWS\system32\drivers\vsapint.sys (Trend Micro Inc.) DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys () DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (tmactmon) -- C:\WINDOWS\system32\drivers\tmactmon.sys (Trend Micro Inc.) DRV - (tmevtmgr) -- C:\WINDOWS\system32\drivers\tmevtmgr.sys (Trend Micro Inc.) DRV - (tmcomm) -- C:\WINDOWS\system32\drivers\tmcomm.sys (Trend Micro Inc.) DRV - (adfs) -- C:\WINDOWS\system32\drivers\adfs.sys (Adobe Systems, Inc.) DRV - (tmcfw) -- C:\WINDOWS\system32\drivers\TM_CFW.sys (Trend Micro Inc.) DRV - (tmtdi) -- C:\WINDOWS\system32\drivers\tmtdi.sys (Trend Micro Inc.) DRV - (ADIHdAudAddService) -- C:\WINDOWS\system32\drivers\ADIHdAud.sys (Analog Devices, Inc.) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (SenFiltService) -- C:\WINDOWS\system32\drivers\senfilt.sys (Sensaura) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.http: "213.164.26.4" FF - prefs.js..network.proxy.http_port: 2301 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.28 18:43:48 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.19 22:13:00 | 000,000,000 | ---D | M] [2009.07.21 15:50:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Mozilla\Extensions [2010.05.01 09:54:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Mozilla\Firefox\Profiles\q17mbo88.default\extensions [2010.05.02 11:06:33 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.14 10:47:42 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.14 10:47:42 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.14 10:47:42 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.14 10:47:42 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.14 10:47:42 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2002.08.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe File not found O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe () O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask .exe (Apple Inc.) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe () O4 - HKLM..\Run: [UfSeAgnt.exe] C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe (Trend Micro Inc.) O4 - HKCU..\Run: [AlcoholAutomount] C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe () O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe () O4 - Startup: C:\Dokumente und Einstellungen\Dominik!\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe () O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe () O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248177912125 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.07.21 13:10:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2015.08.24 14:48:37 | 000,000,000 | ---D | C] -- C:\Programme\Alcohol Soft [2015.08.24 14:46:57 | 000,721,904 | ---- | C] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys [2010.05.03 20:20:09 | 000,570,880 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\OTL.exe [2010.05.02 20:55:44 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010.05.02 20:55:41 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010.05.02 20:55:41 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010.05.02 20:55:41 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010.05.02 20:55:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.05.02 20:52:39 | 000,000,000 | ---D | C] -- C:\ComboFix [2010.05.02 20:50:54 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.05.02 19:58:55 | 000,000,000 | ---D | C] -- C:\rsit [2010.05.02 19:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Malwarebytes [2010.05.02 19:38:01 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.05.02 19:38:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.05.02 19:37:59 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.05.02 19:37:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.05.02 19:36:46 | 006,153,376 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\mbam-setup-1.46.exe [2010.05.02 19:33:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Dominik!\Recent [2010.05.02 11:25:48 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.05.02 11:25:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.05.02 11:23:33 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\spybotsd162.exe [2010.05.02 11:16:19 | 000,000,000 | ---D | C] -- C:\Config.Msi [2010.05.02 10:36:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Google [2010.04.28 22:22:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\backups [2010.04.28 22:04:03 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\HiJackThis.exe [2010.04.27 22:28:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.04.27 22:28:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.04.23 20:48:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Xfire [2010.04.23 20:48:06 | 000,000,000 | ---D | C] -- C:\Programme\Xfire [2010.04.22 18:44:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\mist [2010.04.20 22:08:41 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2010.04.19 22:11:10 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime [2010.04.19 22:11:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer [2010.04.19 22:02:47 | 033,850,672 | ---- | C] (Apple Inc.) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\QuickTimeInstaller.exe [2010.04.17 17:58:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Deutsch Abi [2010.04.10 18:41:03 | 000,000,000 | ---D | C] -- C:\Programme\SopCast [2010.04.10 18:40:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast329 [2009.07.21 16:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2015.08.24 14:48:42 | 000,000,805 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alcohol 120%.lnk [2015.08.24 14:46:57 | 000,721,904 | ---- | M] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys [2010.05.03 20:20:09 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\OTL.exe [2010.05.03 20:17:37 | 000,235,289 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.05.03 20:17:36 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.05.03 20:17:35 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.05.03 20:17:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.05.03 20:01:18 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At21.job [2010.05.03 10:31:41 | 115,565,568 | ---- | M] () -- C:\WINDOWS\outlook.pst [2010.05.03 10:26:03 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.05.03 10:20:43 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At11.job [2010.05.03 09:34:46 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\dees8bjo.exe [2010.05.03 09:15:36 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\re3L1BCI.dat [2010.05.03 09:15:33 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At24.job [2010.05.03 09:15:33 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At23.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At9.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At8.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At7.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At6.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At5.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At4.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At3.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At22.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At20.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At2.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At19.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At18.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At17.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At16.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At15.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At14.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At13.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At12.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At10.job [2010.05.03 09:15:32 | 000,000,428 | ---- | M] () -- C:\WINDOWS\tasks\At1.job [2010.05.03 09:15:31 | 000,068,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0ed4tg7Y.exe [2010.05.02 23:44:14 | 007,340,032 | -H-- | M] () -- C:\Dokumente und Einstellungen\Dominik!\NTUSER.DAT [2010.05.02 23:44:14 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Dominik!\ntuser.ini [2010.05.02 21:47:47 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.05.02 21:36:10 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.05.02 20:48:54 | 003,926,150 | R--- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\ComboFix.exe [2010.05.02 20:02:14 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.05.02 19:58:22 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\RSIT.exe [2010.05.02 19:38:04 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.05.02 19:37:21 | 006,153,376 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\mbam-setup-1.46.exe [2010.05.02 11:25:53 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Spybot - Search & Destroy.lnk [2010.05.02 11:25:18 | 016,409,960 | ---- | M] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\spybotsd162.exe [2010.05.02 11:20:33 | 000,256,840 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SoftonicDownloader20443.exe [2010.04.29 21:59:54 | 000,000,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Day of Defeat Source.url [2010.04.29 17:15:36 | 000,026,919 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Unbenannt.JPG [2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.28 22:21:26 | 000,000,934 | ---- | M] () -- C:\WINDOWS\win.ini [2010.04.28 22:21:26 | 000,000,211 | RHS- | M] () -- C:\boot.ini [2010.04.28 22:04:04 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\HiJackThis.exe [2010.04.28 19:20:44 | 000,536,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\WoWScrnShot_042810_191900.jpg [2010.04.28 12:00:35 | 000,000,636 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steam.lnk [2010.04.26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe [2010.04.25 16:54:30 | 000,127,285 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\M_09_t_G_HT_04_GG_A.pdf [2010.04.23 20:48:09 | 000,000,610 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Xfire.lnk [2010.04.23 20:47:21 | 006,751,816 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\xfire_installer_42424.exe [2010.04.19 22:11:32 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk [2010.04.19 22:08:02 | 033,850,672 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\QuickTimeInstaller.exe [2010.04.19 21:42:10 | 000,069,894 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Unbenannt.bmp [2010.04.16 22:30:30 | 000,041,872 | ---- | M] () -- C:\WINDOWS\System32\xfcodec.dll [2010.04.16 12:42:40 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.04.15 01:30:00 | 000,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.04.13 22:06:34 | 000,049,645 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Gryffindor.jpg [2010.04.13 17:34:19 | 000,044,544 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Ordnung der Abiturprüfung.doc [2010.04.10 18:41:03 | 000,000,638 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast.lnk [2010.04.10 18:39:55 | 005,279,114 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast329.zip [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2015.08.24 14:48:42 | 000,000,805 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alcohol 120%.lnk [2010.05.03 09:34:45 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\dees8bjo.exe [2010.05.03 09:15:32 | 000,068,612 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0ed4tg7Y.exe [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At9.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At8.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At7.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At6.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At5.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At4.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At3.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At24.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At23.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At22.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At21.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At20.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At2.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At19.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At18.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At17.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At16.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At15.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At14.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At13.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At12.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At11.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At10.job [2010.05.03 09:15:32 | 000,000,428 | ---- | C] () -- C:\WINDOWS\tasks\At1.job [2010.05.02 20:55:44 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010.05.02 20:55:41 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010.05.02 20:55:41 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010.05.02 20:55:41 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010.05.02 20:55:41 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010.05.02 20:48:39 | 003,926,150 | R--- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\ComboFix.exe [2010.05.02 19:58:18 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\RSIT.exe [2010.05.02 19:38:04 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.05.02 11:25:53 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Spybot - Search & Destroy.lnk [2010.05.02 11:20:32 | 000,256,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SoftonicDownloader20443.exe [2010.05.02 10:36:02 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.05.01 09:25:24 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\re3L1BCI.dat [2010.04.29 21:59:54 | 000,000,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Day of Defeat Source.url [2010.04.29 17:15:36 | 000,026,919 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Unbenannt.JPG [2010.04.28 19:20:26 | 000,536,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\WoWScrnShot_042810_191900.jpg [2010.04.25 16:54:29 | 000,127,285 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\M_09_t_G_HT_04_GG_A.pdf [2010.04.23 20:48:09 | 000,000,610 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Xfire.lnk [2010.04.23 20:46:47 | 006,751,816 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\xfire_installer_42424.exe [2010.04.19 22:11:32 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk [2010.04.19 21:42:10 | 000,069,894 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Unbenannt.bmp [2010.04.16 22:30:30 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll [2010.04.16 12:41:49 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.04.15 01:30:00 | 000,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.04.13 22:06:33 | 000,049,645 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Gryffindor.jpg [2010.04.13 17:34:18 | 000,044,544 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Ordnung der Abiturprüfung.doc [2010.04.10 18:41:03 | 000,000,638 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast.lnk [2010.04.10 18:39:09 | 005,279,114 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast329.zip [2010.01.03 13:07:22 | 000,000,311 | ---- | C] () -- C:\WINDOWS\keytrans.ini [2010.01.03 13:06:48 | 000,006,870 | ---- | C] () -- C:\WINDOWS\Keytran1.ini [2009.11.21 23:41:47 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2009.11.19 18:00:23 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009.11.16 19:10:50 | 000,000,025 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2009.09.20 13:45:35 | 000,000,042 | ---- | C] () -- C:\WINDOWS\SBCONFIG.INI [2009.09.20 13:45:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\AN2R_SoloBug.INI [2009.08.24 14:52:16 | 000,000,243 | ---- | C] () -- C:\WINDOWS\Clony2.ini [2009.08.22 10:27:58 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.08.22 10:27:58 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009.07.22 22:29:30 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini [2009.07.22 22:29:29 | 000,000,634 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.06.10 08:29:34 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2009.06.10 08:29:34 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2009.06.10 08:29:34 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2009.06.10 08:29:32 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL [1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL [1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL ========== Alternate Data Streams ========== @Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2BE9FEFC < End of report > |
Teil 2, passte net in einen: ________________________ Extras.txt: OTL Extras logfile created on: 03.05.2010 20:22:12 - Run 1 OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Dominik!\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 78,00% Memory free 4,00 Gb Paging File | 4,00 Gb Available in Paging File | 94,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 111,80 Gb Total Space | 5,82 Gb Free Space | 5,20% Space Free | Partition Type: NTFS Drive D: | 3,86 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: DOMINIK Current User Name: Dominik! Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Unstopcp] -- "C:\Programme\Roadkil.Net\UnstopCpy_4_2_Win2K_UP.exe" "%1" * (Roadkil.Net) Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- () ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{03638ad9-aa05-418f-9de3-579486c1ae29}" = Nero 9 Lite "{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam "{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4 "{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4 "{08C0729E-3E50-11DF-9D81-005056806466}" = Google Earth "{098727E1-775A-4450-B573-3F441F1CA243}" = kuler "{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4 "{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4 "{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23}" = Adobe Setup "{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4 "{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4 "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{15BF7AAF-846C-4A6D-80E1-5D1FC7FB461B}" = Adobe SGM CS4 "{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4 "{16E16F01-2E2D-4248-A42F-76261C147B6C}" = Adobe Drive CS4 "{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR "{1A655D51-1423-48A3-B748-8F5A0BE294C8}" = Microsoft Visual J# .NET Redistributable Package 1.1 "{1DCA3EAA-6EB5-4563-A970-EA14D75037BA}" = Adobe InDesign CS4 "{1E04CB54-AF4E-4AC3-B4B7-C0A160BE57F1}" = Adobe InDesign CS4 Icon Handler "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15 "{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime "{2BAF2B96-7560-48B4-87D4-10178DDBE217}" = Adobe InDesign CS4 Application Feature Set Files (Roman) "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4 "{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player "{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4 "{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4 "{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension "{4A52555C-032A-4083-BDD9-6A85ABFB39A8}" = Adobe SING CS4 "{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{5F6231BD-F499-4ED7-A9E1-3FFC339BAEEC}" = TEC-IT Barcode Studio 9.4 "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4 "{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support "{67F0E67A-8E93-4C2C-B29D-47C48262738A}" = Adobe Device Central CS4 "{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK "{69464949-AD9C-4C98-933F-C32FFC86F3C8}" = Doomsday "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{6E298B0A-558C-4138-0096-740677B382CD}" = LOTR The Return of the King tm "{718D791F-F4E8-4aa7-98A6-15FDED17BDD0}" = Trend Micro Internet Security "{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762 "{7748AC8C-18E3-43BB-959B-088FAEA16FB2}" = Nero StartSmart "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7CC7BDD5-6F10-4724-96A1-EAC7D9F2831C}" = Adobe InDesign CS4 Common Base Files "{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4 "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4 "{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4 "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12 "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISER_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISER_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISER_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISER_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISER_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{91120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007 "{91120000-0030-0000-0000-0000000FF1CE}_ENTERPRISER_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{91120000-0030-0000-0000-0000000FF1CE}_ENTERPRISER_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581) "{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4 "{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4 "{9580813D-94B1-4C28-9426-A441E2BB29A5}" = Counter-Strike: Source "{A306FD29-7D3A-4287-91AC-9A0180931395}_is1" = Roadkil's Unstoppable Copier Version 4.2 "{A621B45A-D138-4A95-BE10-7CABA05EF94E}" = Trend Micro Internet Security "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B29AD377-CC12-490A-A480-1452337C618D}" = Connect "{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4 "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{B7886D87-ADA4-46A0-8A8D-02AB16B9F95A}" = Borland Delphi 6 "{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX "{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module "{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}" = Nero ControlCenter "{C0698BDA-0D29-40EE-8570-A31106DF9AB1}" = Medieval II Total War "{C0959742-5DEB-453B-A55C-528AA0EBA103}" = Zoner Barcode Studio 2 "{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4 "{C81A2FE0-3574-00A9-CED4-BDAA334CBE8E}" = Nero Online Upgrade "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CA1CA5F8-7500-45C5-9D4C-47D13FBC92D2}" = Adobe Setup "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw "{E4848436-0345-47E2-B648-8B522FCDA623}" = Adobe Photoshop CS4 "{E8A80433-302B-4FF1-815D-FCC8EAC482FF}" = Nero Installer "{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX "{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help "{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4 "{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4 "{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All "{FFDC4005-E968-498D-93C8-CC148742167D}}_is1" = Wecker für Windows 6.5 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe_1710d324011afc3e7658e969025f4ba" = Adobe InDesign CS4 "Adobe_faf656ef605427ee2f42989c3ad31b8" = Adobe Photoshop CS4 "Audio CD Maker_is1" = Audio CD Maker v6.0 "CCleaner" = CCleaner (remove only) "com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "ENTERPRISER" = Microsoft Office Enterprise 2007 "Hamachi" = Hamachi 1.0.3.0 "ie8" = Windows Internet Explorer 8 "JDownloader" = JDownloader "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "NVIDIA Drivers" = NVIDIA Drivers "Schulschriften" = Schulschriften "SopCast" = SopCast 3.2.9 "Steam App 300" = Day of Defeat: Source "Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2 "Ultimate AI" = Ultimate AI "VLC media player" = VLC media player 1.0.1 "Winamp" = Winamp "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR "WinUHA_is1" = WinUHA 2.0 RC1 (2005.02.27) "World of Warcraft" = World of Warcraft "Xfire" = Xfire (remove only) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Dropbox" = Dropbox ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 15.03.2010 12:33:50 | Computer Name = DOMINIK | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung hl2.exe, Version 0.0.0.0, fehlgeschlagenes Modul shaderapidx9.dll, Version 0.0.0.0, Fehleradresse 0x00014b8f. Error - 15.03.2010 12:35:40 | Computer Name = DOMINIK | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung hl2.exe, Version 0.0.0.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 15.03.2010 15:02:11 | Computer Name = DOMINIK | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul advapi32.dll, Version 5.1.2600.5755, Fehleradresse 0x0003ff9e. Error - 16.03.2010 17:18:04 | Computer Name = DOMINIK | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung ICQ.exe, Version 6.5.0.2024, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 21.03.2010 16:06:09 | Computer Name = DOMINIK | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung hl2.exe, Version 0.0.0.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 27.03.2010 01:37:03 | Computer Name = DOMINIK | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung SfCtlCom.exe, Version 16.10.0.2012, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 31.03.2010 08:53:24 | Computer Name = DOMINIK | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3727, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 06.04.2010 09:13:14 | Computer Name = DOMINIK | Source = Application Error | ID = 1004 Description = Fehlgeschlagene Anwendung winlogon.exe, Version 0.0.0.0, fehlgeschlagenes Modul advapi32.dll, Version 5.1.2600.5755, Fehleradresse 0x0003ff9e. Error - 08.04.2010 03:54:31 | Computer Name = DOMINIK | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung ICQ.exe, Version 6.5.0.2024, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 08.04.2010 04:50:01 | Computer Name = DOMINIK | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung ICQ.exe, Version 6.5.0.2024, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ System Events ] Error - 03.05.2010 13:53:29 | Computer Name = DOMINIK | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 03.05.2010 13:53:29 | Computer Name = DOMINIK | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 03.05.2010 13:53:30 | Computer Name = DOMINIK | Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst HDDlife HDD Access service. Error - 03.05.2010 13:53:30 | Computer Name = DOMINIK | Source = Service Control Manager | ID = 7000 Description = Der Dienst "HDDlife HDD Access service" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 03.05.2010 14:08:29 | Computer Name = DOMINIK | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 03.05.2010 14:08:29 | Computer Name = DOMINIK | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 03.05.2010 14:18:29 | Computer Name = DOMINIK | Source = Service Control Manager | ID = 7009 Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst HDDlife HDD Access service. Error - 03.05.2010 14:18:29 | Computer Name = DOMINIK | Source = Service Control Manager | ID = 7000 Description = Der Dienst "HDDlife HDD Access service" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 03.05.2010 14:22:11 | Computer Name = DOMINIK | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 03.05.2010 14:22:11 | Computer Name = DOMINIK | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. < End of report > |
und da der rechner (natürlich mit aktiver firewall) wieder am Netz hängt, gibbet natürlich auch die schönen trojanerblockmeldungen wieder gratis dabei^^ Sind die gleichen wie gestern (?) schon beschrieben |
Hi, es laufen jede Menge Jobs die versuchen die Malware wieder zu "instanziieren"... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\drivers\atksgt.sys
Code:
chris |
schonmal die logfiles von VirusTotal: (Die dritte genannte Datei (C:\Dokumente und Einstellungen\Dominik!\Desktop\dees8bjo.exe) ist GMER, die hab ich unter diesem Namen heruntergeladen ... trotzden checken?) Die anderen 3: Datei atksgt.sys empfangen 2010.05.03 18:53:00 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.05.03 - AhnLab-V3 2010.05.03.00 2010.05.03 - AntiVir 8.2.1.224 2010.05.03 - Antiy-AVL 2.0.3.7 2010.04.30 - Authentium 5.2.0.5 2010.05.03 - Avast 4.8.1351.0 2010.05.03 - Avast5 5.0.332.0 2010.05.03 - AVG 9.0.0.787 2010.05.03 - BitDefender 7.2 2010.05.03 - CAT-QuickHeal 10.00 2010.05.03 - ClamAV 0.96.0.3-git 2010.05.03 - Comodo 4750 2010.05.03 - DrWeb 5.0.2.03300 2010.05.03 - eSafe 7.0.17.0 2010.05.03 - eTrust-Vet 35.2.7465 2010.05.03 - F-Prot 4.5.1.85 2010.05.03 - F-Secure 9.0.15370.0 2010.05.03 - Fortinet 4.0.14.0 2010.05.03 - GData 21 2010.05.03 - Ikarus T3.1.1.80.0 2010.05.03 - Jiangmin 13.0.900 2010.05.03 - Kaspersky 7.0.0.125 2010.05.03 - McAfee 5.400.0.1158 2010.05.03 - McAfee-GW-Edition 6.8.5 2010.05.03 - Microsoft 1.5703 2010.05.03 - NOD32 5083 2010.05.03 - Norman 6.04.12 2010.05.03 - nProtect 2010-05-03.01 2010.05.03 - Panda 10.0.2.7 2010.05.03 - PCTools 7.0.3.5 2010.05.03 - Prevx 3.0 2010.05.03 - Rising 22.45.04.03 2010.04.30 - Sophos 4.53.0 2010.05.03 - Sunbelt 6253 2010.05.03 - Symantec 20091.2.0.41 2010.05.03 - TheHacker 6.5.2.0.275 2010.05.03 - TrendMicro 9.120.0.1004 2010.05.03 - TrendMicro-HouseCall 9.120.0.1004 2010.05.03 - VBA32 3.12.12.4 2010.05.03 - ViRobot 2010.5.3.2301 2010.05.03 - VirusBuster 5.0.27.0 2010.05.03 - weitere Informationen File size: 281760 bytes MD5...: f0d933b42cd0594048e4d5200ae9e417 SHA1..: f447e42bbd4aa4ec348bde7ff051251d79dc32c0 SHA256: ff53e843a99948568515964c3c97107fa875bbc3f2906badee0b29ace5532f0d ssdeep: 6144:bptHWPlqWsPoiBDOcPFmlF4w74nAGABWq+RS9dPadH7K:nIlqWIKcP4l9sm PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40f46 timedatestamp.....: 0x4a06e9d2 (Sun May 10 14:50:58 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x3b6d8 0x3b700 5.99 05a30a3b653b2e3c9729cf33ddaf653a .rdata 0x3ba00 0x3d10 0x3d80 7.59 bb0f055ad0b023eeecf5417a1b222a64 .data 0x3f780 0xb6c 0xb80 4.57 a9f42cd9c3064726c71109e6ec68c260 PAGE 0x40300 0xbed 0xc00 6.16 79124ad89f962b618bfa14313a76ec46 INIT 0x40f00 0x532 0x580 5.60 849a5fecc5c78ad7ffb285f035bb1ebd .reloc 0x41480 0x1b48 0x1b80 4.19 cdb48103c93c0ddd869bf42c3f60878d ( 2 imports ) > ntoskrnl.exe: IoAllocateMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, KeWaitForSingleObject, _alldiv, _allmul, ExFreePool, ExAllocatePool, KeQuerySystemTime, IoCreateSymbolicLink, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, MmGetSystemRoutineAddress, MmUnmapIoSpace, MmMapIoSpace, RtlUnicodeStringToAnsiString, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, wcslen, swprintf, RtlQueryRegistryValues, _aullshr, _allshl, RtlUnwind, IoCreateDevice, IoFreeMdl > HAL.dll: KeQueryPerformanceCounter ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: - _________________________________________________________________________________________________ Datei At3.job empfangen 2010.05.03 18:57:22 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.05.03 - AhnLab-V3 2010.05.03.00 2010.05.03 - AntiVir 8.2.1.224 2010.05.03 - Antiy-AVL 2.0.3.7 2010.04.30 - Authentium 5.2.0.5 2010.05.03 - Avast 4.8.1351.0 2010.05.03 - Avast5 5.0.332.0 2010.05.03 - AVG 9.0.0.787 2010.05.03 - BitDefender 7.2 2010.05.03 - CAT-QuickHeal 10.00 2010.05.03 - ClamAV 0.96.0.3-git 2010.05.03 - Comodo 4750 2010.05.03 - DrWeb 5.0.2.03300 2010.05.03 - eSafe 7.0.17.0 2010.05.03 - eTrust-Vet 35.2.7465 2010.05.03 - F-Prot 4.5.1.85 2010.05.03 - F-Secure 9.0.15370.0 2010.05.03 - Fortinet 4.0.14.0 2010.05.03 - GData 21 2010.05.03 - Ikarus T3.1.1.80.0 2010.05.03 - Jiangmin 13.0.900 2010.05.03 - Kaspersky 7.0.0.125 2010.05.03 - McAfee 5.400.0.1158 2010.05.03 - McAfee-GW-Edition 6.8.5 2010.05.03 - Microsoft 1.5703 2010.05.03 - NOD32 5083 2010.05.03 - Norman 6.04.12 2010.05.03 - nProtect 2010-05-03.01 2010.05.03 - Panda 10.0.2.7 2010.05.03 - PCTools 7.0.3.5 2010.05.03 - Prevx 3.0 2010.05.03 - Rising 22.45.04.03 2010.04.30 - Sophos 4.53.0 2010.05.03 - Sunbelt 6253 2010.05.03 - Symantec 20091.2.0.41 2010.05.03 - TheHacker 6.5.2.0.275 2010.05.03 - TrendMicro 9.120.0.1004 2010.05.03 - TrendMicro-HouseCall 9.120.0.1004 2010.05.03 - VBA32 3.12.12.4 2010.05.03 - ViRobot 2010.5.3.2301 2010.05.03 - VirusBuster 5.0.27.0 2010.05.03 - weitere Informationen File size: 428 bytes MD5...: 7963ef89f3460a528a7d0f32e558ef92 SHA1..: 92e503ae756d74a896e75dd6dbbdbc4d39af722f SHA256: 003377c8e895852f7094002dbd249955e427dbf2bffd20567ef461a650bd445c ssdeep: 12:aYrqb/7a1e5GuUjASQRfm2cYLwVd6Uw5BK:frIa1e0uW0ROF161y PEiD..: - PEInfo: - RDS...: NSRL Reference Data Set - pdfid.: - trid..: Unknown! sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned ________________________________________________________________________________________ Datei 0ed4tg7Y.exe empfangen 2010.05.03 18:59:40 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 6/41 (14.64%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.05.03 - AhnLab-V3 2010.05.03.00 2010.05.03 - AntiVir 8.2.1.224 2010.05.03 TR/Dldr.Stration.Gen Antiy-AVL 2.0.3.7 2010.04.30 - Authentium 5.2.0.5 2010.05.03 - Avast 4.8.1351.0 2010.05.03 - Avast5 5.0.332.0 2010.05.03 - AVG 9.0.0.787 2010.05.03 - BitDefender 7.2 2010.05.03 - CAT-QuickHeal 10.00 2010.05.03 - ClamAV 0.96.0.3-git 2010.05.03 - Comodo 4750 2010.05.03 - DrWeb 5.0.2.03300 2010.05.03 - eSafe 7.0.17.0 2010.05.03 - eTrust-Vet 35.2.7465 2010.05.03 - F-Prot 4.5.1.85 2010.05.03 - F-Secure 9.0.15370.0 2010.05.03 Suspicious:W32/Malware!Gemini Fortinet 4.0.14.0 2010.05.03 - GData 21 2010.05.03 - Ikarus T3.1.1.80.0 2010.05.03 - Jiangmin 13.0.900 2010.05.03 - Kaspersky 7.0.0.125 2010.05.03 - McAfee 5.400.0.1158 2010.05.03 - McAfee-GW-Edition 6.8.5 2010.05.03 Heuristic.LooksLike.Trojan.Dropper.B Microsoft 1.5703 2010.05.03 VirTool:Win32/CeeInject.gen!J NOD32 5083 2010.05.03 - Norman 6.04.12 2010.05.03 - nProtect 2010-05-03.01 2010.05.03 - Panda 10.0.2.7 2010.05.03 - PCTools 7.0.3.5 2010.05.03 - Prevx 3.0 2010.05.03 - Rising 22.45.04.03 2010.04.30 - Sophos 4.53.0 2010.05.03 Sus/UnkPack-C Sunbelt 6253 2010.05.03 - Symantec 20091.2.0.41 2010.05.03 - TheHacker 6.5.2.0.275 2010.05.03 - TrendMicro 9.120.0.1004 2010.05.03 - TrendMicro-HouseCall 9.120.0.1004 2010.05.03 - VBA32 3.12.12.4 2010.05.03 Trojan.Win32.Buzus ViRobot 2010.5.3.2301 2010.05.03 - VirusBuster 5.0.27.0 2010.05.03 - weitere Informationen File size: 68616 bytes MD5...: 880c30226e1ec8f94c917931a04d8055 SHA1..: f5c53714599d1dd1d1643d97697f37348bba584c SHA256: c2fbd9c4f8ed6638be5132895b1313f40cbac8b7977fc648548b34d4398803c1 ssdeep: 1536:CV6/p+N4pWexakLW+77bUJ5Yd+NO+ED9swbMzgLf8s0j:CVb+97/UJ+sNOz dfh0j PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x31c0 timedatestamp.....: 0x4bdeeab6 (Mon May 03 15:24:38 2010) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x21e0 0x2200 5.90 5d3de95a91f89380bc3ac062c73f7030 .rdata 0x4000 0x1d2 0x200 4.22 26c0dce874c14da7e290f7d50001a2b3 .data 0x5000 0xe160 0xe200 7.94 840e375491d7139563d7344d2499ba26 .rsrc 0x14000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b ( 2 imports ) > KERNEL32.dll: HeapAlloc, GetProcessHeap, ExitProcess, GetProcAddress, GetModuleHandleA > USER32.dll: SetScrollInfo, CloseClipboard, GetDC, EnableMenuItem, ScrollWindow, SetClipboardData, OpenClipboard, EmptyClipboard, GetScrollInfo, UpdateWindow ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
Hi, lass otl los, falls nach dem otl-lauf zwischenzeitlich neue "jobs" wie "At24.job " übrig bleiben, sofort löschen sonst bekommen wir den spuk nicht weg... TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150 Entpacke alle Dateien! Start.bat erstellen: Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein: Code: @ECHO OFF
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt. chris |
OTL is los, Rechner tut keinen Mucks mehr, hoffe das gehört so ;) (bin wieder am anderen PC) Also einfach n Auge auf den Tasks-Ordner haben und alles löschen was auftaucht? kann ich da zuviel löschen? |
Hi, nein, eigentlich nicht. Googleupdater etc. legen dort jobs ab, oder der user wenn er zeitgesteuerte backups machen soll... Der Rechner sollte wieder zum leben erwachen und neu booten... Es werden temporäre dateien gelöscht, die jobs und die verseuchte datei und ein klitzekleiner regeintrag zurückgebogen... mal sehen wie lange der notebookakku noch mitmacht ... chris |
alles klar, dann wart ich mal ab^^ wunderte mich nur, dass die paar zeilen meine CPU auf 100% hochtreiben und da halten, weil da tut sich wirklich nix mehr. sobald er wieder geht, hab ich dann n auge auf den Tasks-Ordner und mach ansonsten dieses TDSS oder wie das hieß an. hoffe dein Akku hält lang genug, keine steckdose in reichweite? |
Hi, nein, düse morgen um 04:00 uhr los, alles schon gepackt ... Bin dann erst wieder am freitag verfügbar... chris |
dann *daumen drück* PC hängt immer noch ... |
rattert die festplatte noch? das ist ungewöhnlich, oder du hast sehr viele temporäre files die beim löschen alle noch von trendmicro gescannt werden... chris |
temporäre gestern alle über CCleaner wegmachen lassen, also wenn is nur n bisschen von heute da .... festplatte is auch relativ still |
kann irgendwas dauerhaft schiefgehen, wenn ich ihn einfach resette, neu hochfahren lasse und dann nochmal versuche? würd dieses mal dann die firewall etc. abdrehen (vorher halt vom inet trennen), vllt is da was schiefgelaufen |
versuche mal den affengriff (ctrl+alt+del) und dann feststellen was 100% kapazität verbrät.. eigentlich sollte er beim löschen der temp. daten sein, bei einem ntfs-filesystem sollte das aber kein problem sein... vielleicht hängt er beim löschen der malwaredatei... chris |
hab ich eben schon versucht, keine Chance, tut sich nix mehr. |
hi, dann boote den rechner neu... hmm, gmer läuft nicht richtig und otl auch nicht... chris |
Alles klar ;) ich versuchs einfach nochmal, denke da is wirklich was mit TrendMicro daneben gegangen, der reagiert öfters mal etwas .. harsch wenn ihm einer in die Gefilde kommt^^ |
klappte auf anhieb, reboot läuft. |
Ich mach dann das TDSS Teil, hier der OTL log: All processes killed ========== OTL ========== C:\WINDOWS\tasks\At21.job moved successfully. C:\WINDOWS\tasks\At11.job moved successfully. C:\WINDOWS\tasks\At24.job moved successfully. C:\WINDOWS\tasks\At23.job moved successfully. C:\WINDOWS\tasks\At9.job moved successfully. C:\WINDOWS\tasks\At8.job moved successfully. C:\WINDOWS\tasks\At7.job moved successfully. C:\WINDOWS\tasks\At6.job moved successfully. C:\WINDOWS\tasks\At5.job moved successfully. C:\WINDOWS\tasks\At4.job moved successfully. C:\WINDOWS\tasks\At3.job moved successfully. C:\WINDOWS\tasks\At22.job moved successfully. C:\WINDOWS\tasks\At20.job moved successfully. C:\WINDOWS\tasks\At2.job moved successfully. C:\WINDOWS\tasks\At19.job moved successfully. C:\WINDOWS\tasks\At18.job moved successfully. C:\WINDOWS\tasks\At17.job moved successfully. C:\WINDOWS\tasks\At16.job moved successfully. C:\WINDOWS\tasks\At15.job moved successfully. C:\WINDOWS\tasks\At14.job moved successfully. C:\WINDOWS\tasks\At13.job moved successfully. C:\WINDOWS\tasks\At12.job moved successfully. C:\WINDOWS\tasks\At10.job moved successfully. C:\WINDOWS\tasks\At1.job moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0ed4tg7Y.exe moved successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall\\"DisableMonitoring" | dword:0x00 /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: Dominik! ->Temp folder emptied: 49929 bytes ->Temporary Internet Files folder emptied: 12269610 bytes ->Java cache emptied: 2416441 bytes ->FireFox cache emptied: 36361722 bytes ->Flash cache emptied: 5691 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 2513 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1139177 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 32768 bytes RecycleBin emptied: 428 bytes Total Files Cleaned = 50,00 mb OTL by OldTimer - Version 3.2.4.1 log created on 05032010_214309 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
TDSS log: 21:52:33:859 1200 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04 21:52:33:859 1200 ================================================================================ 21:52:33:859 1200 SystemInfo: 21:52:33:859 1200 OS Version: 5.1.2600 ServicePack: 3.0 21:52:33:859 1200 Product type: Workstation 21:52:33:859 1200 ComputerName: DOMINIK 21:52:33:859 1200 UserName: Dominik! 21:52:33:859 1200 Windows directory: C:\WINDOWS 21:52:33:859 1200 Processor architecture: Intel x86 21:52:33:859 1200 Number of processors: 2 21:52:33:859 1200 Page size: 0x1000 21:52:33:859 1200 Boot type: Normal boot 21:52:33:859 1200 ================================================================================ 21:52:33:875 1200 UnloadDriverW: NtUnloadDriver error 2 21:52:33:875 1200 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2 21:52:33:937 1200 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system 21:52:33:937 1200 wfopen_ex: MyNtCreateFileW error 32 (C0000043) 21:52:33:937 1200 wfopen_ex: Trying to KLMD file open 21:52:33:937 1200 wfopen_ex: File opened ok (Flags 2) 21:52:33:937 1200 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software 21:52:33:937 1200 wfopen_ex: MyNtCreateFileW error 32 (C0000043) 21:52:33:937 1200 wfopen_ex: Trying to KLMD file open 21:52:33:937 1200 wfopen_ex: File opened ok (Flags 2) 21:52:33:937 1200 Initialize success 21:52:33:937 1200 21:52:33:937 1200 Scanning Services ... 21:52:34:390 1200 Raw services enum returned 307 services 21:52:34:390 1200 21:52:34:390 1200 Scanning Kernel memory ... 21:52:34:390 1200 Devices to scan: 2 21:52:34:390 1200 21:52:34:390 1200 Driver Name: Disk 21:52:34:390 1200 IRP_MJ_CREATE : B80FEBB0 21:52:34:390 1200 IRP_MJ_CREATE_NAMED_PIPE : 804F4562 21:52:34:390 1200 IRP_MJ_CLOSE : B80FEBB0 21:52:34:390 1200 IRP_MJ_READ : B80F8D1F 21:52:34:390 1200 IRP_MJ_WRITE : B80F8D1F 21:52:34:390 1200 IRP_MJ_QUERY_INFORMATION : 804F4562 21:52:34:390 1200 IRP_MJ_SET_INFORMATION : 804F4562 21:52:34:390 1200 IRP_MJ_QUERY_EA : 804F4562 21:52:34:390 1200 IRP_MJ_SET_EA : 804F4562 21:52:34:390 1200 IRP_MJ_FLUSH_BUFFERS : B80F92E2 21:52:34:390 1200 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562 21:52:34:390 1200 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562 21:52:34:390 1200 IRP_MJ_DIRECTORY_CONTROL : 804F4562 21:52:34:390 1200 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562 21:52:34:390 1200 IRP_MJ_DEVICE_CONTROL : B80F93BB 21:52:34:390 1200 IRP_MJ_INTERNAL_DEVICE_CONTROL : B80FCF28 21:52:34:390 1200 IRP_MJ_SHUTDOWN : B80F92E2 21:52:34:390 1200 IRP_MJ_LOCK_CONTROL : 804F4562 21:52:34:390 1200 IRP_MJ_CLEANUP : 804F4562 21:52:34:390 1200 IRP_MJ_CREATE_MAILSLOT : 804F4562 21:52:34:390 1200 IRP_MJ_QUERY_SECURITY : 804F4562 21:52:34:390 1200 IRP_MJ_SET_SECURITY : 804F4562 21:52:34:390 1200 IRP_MJ_POWER : B80FAC82 21:52:34:390 1200 IRP_MJ_SYSTEM_CONTROL : B80FF99E 21:52:34:390 1200 IRP_MJ_DEVICE_CHANGE : 804F4562 21:52:34:390 1200 IRP_MJ_QUERY_QUOTA : 804F4562 21:52:34:390 1200 IRP_MJ_SET_QUOTA : 804F4562 21:52:34:453 1200 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1 21:52:34:453 1200 21:52:34:453 1200 Driver Name: atapi 21:52:34:453 1200 IRP_MJ_CREATE : B7F4C86C 21:52:34:453 1200 IRP_MJ_CREATE_NAMED_PIPE : 804F4562 21:52:34:453 1200 IRP_MJ_CLOSE : B7F4C86C 21:52:34:453 1200 IRP_MJ_READ : 804F4562 21:52:34:453 1200 IRP_MJ_WRITE : 804F4562 21:52:34:453 1200 IRP_MJ_QUERY_INFORMATION : 804F4562 21:52:34:453 1200 IRP_MJ_SET_INFORMATION : 804F4562 21:52:34:453 1200 IRP_MJ_QUERY_EA : 804F4562 21:52:34:453 1200 IRP_MJ_SET_EA : 804F4562 21:52:34:453 1200 IRP_MJ_FLUSH_BUFFERS : 804F4562 21:52:34:453 1200 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562 21:52:34:453 1200 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562 21:52:34:453 1200 IRP_MJ_DIRECTORY_CONTROL : 804F4562 21:52:34:453 1200 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562 21:52:34:453 1200 IRP_MJ_DEVICE_CONTROL : B7F4C882 21:52:34:453 1200 IRP_MJ_INTERNAL_DEVICE_CONTROL : B7F4903C 21:52:34:453 1200 IRP_MJ_SHUTDOWN : 804F4562 21:52:34:453 1200 IRP_MJ_LOCK_CONTROL : 804F4562 21:52:34:453 1200 IRP_MJ_CLEANUP : 804F4562 21:52:34:453 1200 IRP_MJ_CREATE_MAILSLOT : 804F4562 21:52:34:453 1200 IRP_MJ_QUERY_SECURITY : 804F4562 21:52:34:453 1200 IRP_MJ_SET_SECURITY : 804F4562 21:52:34:453 1200 IRP_MJ_POWER : B7F4C8A2 21:52:34:453 1200 IRP_MJ_SYSTEM_CONTROL : B7F52BE0 21:52:34:453 1200 IRP_MJ_DEVICE_CHANGE : 804F4562 21:52:34:453 1200 IRP_MJ_QUERY_QUOTA : 804F4562 21:52:34:453 1200 IRP_MJ_SET_QUOTA : 804F4562 21:52:34:500 1200 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1 21:52:34:500 1200 21:52:34:500 1200 Completed 21:52:34:500 1200 21:52:34:500 1200 Results: 21:52:34:500 1200 Memory objects infected / cured / cured on reboot: 0 / 0 / 0 21:52:34:500 1200 Registry objects infected / cured / cured on reboot: 0 / 0 / 0 21:52:34:500 1200 File objects infected / cured / cured on reboot: 0 / 0 / 0 21:52:34:500 1200 21:52:34:500 1200 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system 21:52:34:500 1200 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software 21:52:34:515 1200 KLMD(ARK) unloaded successfully |
hi, was macht das task-verzeichnis...? soweit so gut... MAM updaten und noch mal fullscan&bereinigen... chris |
nach dem neustart war Tasks wieder randvoll, hab einfach gelöscht und seitdem nix mehr neues dazu gekommen. Ich mach MBAM mal an ... das kann dauern^^ Ich möcht dich nu aber nicht um deinen schlaf bringen, wenn du weg musst sag bescheid ... is ja mein problem net deins, wär nur nett wenn du eventuell jmd anderem von kompetenzteam sagen würdest, dass es mich gibt ;) Grüße |
Hi, frage mal bei cosinus nach... chris |
hm also fragst du nach, oder war das ne aufforderung an mich?^^ |
Hi, habe in informiert, notebook hat 10% und ist gleich am ende... chris |
Okay, dann vielen vielen Dank für deine Hilfe bisher, und viel Erfolg oder alernativ Spaß, je nach dem wo es hingeht! Grüße, Dingens |
so, und das MBAM file, in der Hoffnung dass Cosinus mich dann hier weiter rettet ;) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4063 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 03.05.2010 23:21:28 mbam-log-2010-05-03 (23-21-28).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 259904 Laufzeit: 1 Stunde(n), 15 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{2D027706-BDA8-44C7-B3BE-152C808770CB}\RP261\A0065535.exe (VirTool.CeeInject) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2D027706-BDA8-44C7-B3BE-152C808770CB}\RP261\A0065546.exe (VirTool.CeeInject) -> Quarantined and deleted successfully. |
so guten morgen an denjenigen, der das hier hoffentlich irgendwann mal liest ;) Der Taskordner war wieder randvoll, hab nu manuell einfach alle Einträge gelöscht. Sonst bisher nix auffälliges, ich lass einfach nochmal Trend Micro laufen. |
so, n funktionierten GMER scan später: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-05-04 16:27:04 Windows 5.1.2600 Service Pack 3 Running: dees8bjo.exe; Driver: C:\DOKUME~1\Dominik!\LOKALE~1\Temp\axldapod.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6F7F360, 0x3D46A5, 0xE8000020] init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB48BCA00] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB384A300, 0x3B6D8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB83D0300, 0x1BEE, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.) AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.) AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF3 0x36 0xF0 0xF9 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xAB 0xE3 0x58 0x6D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xF3 0xBB 0xAF 0xBA ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF3 0x36 0xF0 0xF9 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xAB 0xE3 0x58 0x6D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xF3 0xBB 0xAF 0xBA ... ---- EOF - GMER 1.0.15 ---- Grüße, Dingens |
Trend micro springt immer noch an, die komische .exe is wieder aufgetaucht, es erscheinen immer noch tasks im Taksplanungsordner ... Hilfe! ^^ |
ComboFix mit wiederherstellungskonsole: ComboFix 10-05-02.01 - Dominik! 05.05.2010 0:53.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1586 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Dominik!\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Dominik!\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe AV: Trend Micro Internet Security *On-access scanning enabled* (Updated) {7D2296BC-32CC-4519-917E-52E652474AF5} FW: Trend Micro Personal Firewall *enabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6} . PEV Error: UserFile (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \461883920\461883920.fb c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \461883920\Messages.mdb c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \461883920\Owner.mdb c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \461883920\XtrazPrefs\bd_reminder\Prefs.xml c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \461883920\XtrazPrefs\icq_welcome\Prefs.xml c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \Application.mdb c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\0BA0869CB08D7832CA62BF4517E344B7 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\0BE6F4D006AA2184C6997C32DD1469C7 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\474DE2C62BF150F707F7AB1F096A881C c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\5B7EBF10DBD57C3EED1BC5880C855673 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\7F1B07BBE8AD52378CC1D1B40A209201 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\A313FDB79A1651294C9AFECF5849E3C9 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\A5DE842B846672355B98A2FCA0E35041 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\1\D29C8704A4B94373AA985EF7670FF083 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\2973B103BD3FB3CB90AECDA3B95DC860 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\314CEABD0AB95BF351B2DCECB07021E2 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\558DA98803FE301F1AADD8DA9874CDC0 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\58C20A5636D5F104D907A5F5F3177F07 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\636E0893162CD044F034FE970EBA75D1 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\6E0999A1A94260C83484899A2D905BAE c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\8836E5952881C448B4BD9DEB96B7F33E c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\8E778CFAE7110839C1C9D855B0646C62 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\9BD982EA29048F63AF04B3A070D8A33B c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \bart\12\E52F39F3456BBBEE52D66DC0F7A5E4A2 c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ \icq.dat . ((((((((((((((((((((((( Dateien erstellt von 2010-04-04 bis 2010-05-04 )))))))))))))))))))))))))))))) . 2015-08-24 12:48 . 2015-08-24 12:48 -------- d-----w- c:\programme\Alcohol Soft 2015-08-24 12:46 . 2015-08-24 12:46 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2010-05-03 19:03 . 2010-05-03 19:03 -------- d-----w- C:\_OTL 2010-05-02 17:58 . 2010-05-02 17:59 -------- d-----w- C:\rsit 2010-05-02 17:38 . 2010-05-02 17:38 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Malwarebytes 2010-05-02 17:38 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-05-02 17:38 . 2010-05-02 17:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-05-02 17:37 . 2010-05-02 17:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-05-02 17:37 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-05-02 09:25 . 2010-05-02 17:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-05-02 09:25 . 2010-05-02 09:27 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-05-02 08:36 . 2010-05-02 18:02 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-04-28 14:03 . 2010-03-17 20:36 1507328 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\cache\2010-05-02\Project1 (deleted 4ba13d5a-170000-1cd005d3d33).exe 2010-04-27 20:33 . 2010-04-27 20:33 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten 2010-04-23 18:48 . 2010-05-04 22:41 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Xfire 2010-04-23 18:48 . 2010-05-04 07:30 -------- d-----w- c:\programme\Xfire 2010-04-20 20:08 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe 2010-04-19 20:11 . 2010-05-03 18:40 -------- d-----w- c:\programme\QuickTime 2010-04-19 20:11 . 2010-04-19 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-04-16 20:30 . 2010-04-16 20:30 41872 ----a-w- c:\windows\system32\xfcodec.dll 2010-04-10 16:41 . 2010-04-10 16:41 -------- d-----w- c:\programme\SopCast . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-04 22:30 . 2009-09-02 17:58 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox 2010-05-04 21:28 . 2009-12-06 20:10 -------- d-----w- c:\programme\Steam 2010-05-04 20:23 . 2010-01-08 16:49 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-05-03 18:40 . 2009-07-21 14:16 -------- d-----w- c:\programme\ICQ6.5 2010-05-03 07:11 . 2009-07-21 14:16 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\ICQ 2010-05-02 09:16 . 2010-01-08 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\BinarySense 2010-04-28 20:58 . 2009-10-10 05:05 -------- d-----w- c:\programme\Wecker6 2010-04-28 16:43 . 2010-03-13 13:04 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai 2010-04-26 17:14 . 2010-01-09 15:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-04-16 10:42 . 2009-08-03 10:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-04-14 23:29 . 2009-10-02 14:05 -------- d-----w- c:\programme\Google 2010-04-04 14:47 . 2009-08-02 13:12 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\vlc 2010-03-28 08:10 . 2002-08-29 12:00 64788 ----a-w- c:\windows\system32\perfc007.dat 2010-03-28 08:10 . 2002-08-29 12:00 394840 ----a-w- c:\windows\system32\perfh007.dat 2010-03-14 11:09 . 2010-03-13 12:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2010-03-13 20:35 . 2010-03-13 20:35 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Apple Computer 2010-03-13 12:59 . 2009-07-21 12:38 98152 ----a-w- c:\dokumente und einstellungen\Dominik!\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-13 12:50 . 2010-03-13 12:50 -------- d-----w- c:\programme\Adobe Media Player 2010-03-13 12:49 . 2010-03-13 12:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR 2010-03-13 12:44 . 2010-03-13 12:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2010-03-13 12:19 . 2010-03-13 11:22 -------- d-----w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Download Manager 2010-03-13 11:07 . 2009-07-21 14:26 -------- d-----w- c:\programme\World of Warcraft 2010-03-13 10:46 . 2010-01-29 09:44 -------- d-----w- c:\programme\JDownloader 2010-03-13 10:41 . 2009-10-31 11:22 -------- d-----w- c:\programme\EA GAMES 2010-03-13 10:39 . 2009-07-21 11:47 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-03-13 10:38 . 2009-07-29 20:10 -------- d-----w- c:\programme\Ubisoft 2010-03-10 06:15 . 2002-08-29 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-02-26 07:47 . 2009-09-02 17:58 91696 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Uninstall.exe 2010-02-26 07:46 . 2010-02-26 07:46 13264416 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\cache\Dropbox-update-0.7.110.exe 2010-02-26 05:10 . 2010-02-26 05:10 21979992 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe 2010-02-25 06:15 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-24 13:11 . 2002-08-29 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-16 19:04 . 2002-08-29 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe 2010-02-16 19:04 . 2002-08-29 03:41 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-02-12 04:33 . 2002-08-29 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll 2010-02-11 12:02 . 2002-08-29 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys 2003-11-06 08:09 . 2010-01-03 11:06 2206317 ----a-w- c:\programme\Gemeinsame Dateien\Fontinfo.hlp 1996-04-09 21:47 . 2010-01-03 11:06 766 ----a-w- c:\programme\Gemeinsame Dateien\Will.ico 2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . Code: <pre>[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys [7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\System32\DRIVERS\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys . ((((((((((((((((((((((((((((( SnapShot@2010-05-02_19.47.46 ))))))))))))))))))))))))))))))))))))))))) . + 2010-05-04 20:24 . 2010-05-04 20:24 16384 c:\windows\Temp\Perflib_Perfdata_6e0.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ "="c:\programme\ICQ6.5\ICQ .exe silent" [X] "AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2010-05-03 35848] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\programme\QuickTime\qttask .exe -atboottime" [X] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2010-05-01 35844] "UfSeAgnt.exe"="c:\programme\Trend Micro\Internet Security\UfSeAgnt.exe" [2009-01-31 1398024] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464] "nwiz"="nwiz.exe" [2009-06-10 1657376] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-05-01 35844] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-05-01 35844] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Dominik!\Startmen\Programme\Autostart\ Dropbox.lnk - c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dominik!^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk] path=c:\dokumente und einstellungen\Dominik!\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk backup=c:\windows\pss\Wecker für Windows 6.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2008-10-25 10:44 31072 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetFxUpdate_v1.1.4322] 2004-08-10 15:20 106496 ----a-w- c:\windows\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 2009-06-10 06:28 86016 ----a-w- c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] c:\programme\QuickTime\qttask.exe [N/A] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] 2010-04-28 09:48 1238352 ----a-w- c:\programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-08-15 13:50 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2009-07-01 16:37 37888 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Dokumente und Einstellungen\\Dominik!\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [15.02.2008 23:39 36368] R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [15.02.2008 23:39 333328] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [02.10.2009 16:05 133104] S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [04.08.2009 02:28 52624] S3 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~1\TmPfw.exe [04.08.2009 02:28 488768] S3 tmproxy;Trend Micro Proxy Service;c:\programme\Trend Micro\Internet Security\TmProxy.exe [04.08.2009 02:28 648456] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.08.2015 14:46 721904] . Inhalt des "geplante Tasks" Ordners 2010-05-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-02 14:05] 2010-05-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-02 14:05] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://de.yahoo.com/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Dominik!\Anwendungsdaten\Mozilla\Firefox\Profiles\q17mbo88.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-05 00:57 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1084) c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll c:\windows\system32\adsldpc.dll . Zeit der Fertigstellung: 2010-05-05 00:58:27 ComboFix-quarantined-files.txt 2010-05-04 22:58 ComboFix2.txt 2010-05-02 19:49 Vor Suchlauf: 5.925.416.960 Bytes frei Nach Suchlauf: 5.901.045.760 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn - - End Of File - - D0CDB3331EFC2FC750B80470673050BA |
Hallo, ich muss mich ein wenig in den Strang hineinarbeiten. Besteht das ursprüngliche Problem immer noch? Unabhängig davon würde ich gern mal frische Logs von OTL sehen. Bitte erstell auch welche mit GMER und OSAM und poste diese (gerne auch gezippt). |
gstern Abend tauchten wieder einige Popups auf, seit dem letzten ComboFix scan von heut Nacht (hatte einfach nochmal laufen lassen, weil letztes mal die wiederherstellungskonsole nicht wollte) aber nicht mehr. Das Erstellen neuer Tasks hab ich in der Registry geblockt, seitdem ist da Ruhe. Also wenn du das selber brauchst, müsst ichs wieder anmachen. Logs kommen nu in der gewünschten Reihenfolge. Grüße |
So, tut mir leid dass es solange gebraucht hat, aber GMER war heut Nachmittag noch nicht fertig, und ich war dann unterwegs. Hier schonmal die beiden OTL logs und n neuer GMER log: OTL.txt: Code: OTL logfile created on: 05.05.2010 10:37:33 - Run 2 |
OTL extra: Code: OTL Extras logfile created on: 05.05.2010 10:37:33 - Run 2Code: GMER 1.0.15.15281 - http://www.gmer.net |
Last but not Least, nach einigem Kampf mit meinem Virenscanner, der OSAM nicht OSAM sein lassen wollte: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
hab nochmal bei Virustotal diese komische .exe gescant, die der ständig starten will, vllt kannst ja damit auch was anfangen: Code: Datei 0ed4tg7Y.exe empfangen 2010.05.06 08:44:00 (UTC) |
Die Logs sind völlig unauffällig für meine Begriffe :o Aber die Datei 0ed4tg7Y.exe will trotzdem noch ständig starten? Wo genau liegt die in welchem Pfad? |
C:\Dokumente und Einstellungen\All Users\Anwendungsdateien |
Und die startet immer noch bei jedem Systemstart? Find ich so merkwürdig, wenigstens in einem der vielen Logs sollte so ein Eintrag zu sehen sein...dann müssen wir halt eben aus einer sicheren Umgebung das System analysieren: Systemscan mit OTLPE
|
alles klar, danke schonmal ;) Ich brauch den Rechner leider heut noch dringend, komm also frühestens morgen Nacht dazu. Ich melde mich mit dem Log dann wieder ^^ |
So, da bin ich wieder ;-) Also noch ne kurze Info: Die genannte .exe ist ziemlich sicher für die eingangs beschriebenen Symptome verantwortlich. Gestern Abend traten diese nämlich erneut auf, und im Taskmanager fand sich diese .exe. Ich hab den Prozess dann beendet, und der Spuk hatte wieder ein Ende. Seitdem wurde ein erneutes Ausführen auch wieder von TrendMicro geblockt, weiß nicht warum das eine Mal nicht ... Außerdem muss sich noch mindestens ein weiterer Schädling auf dem REchner befinden, der in der Lage ist diese .exe jedes mal wieder herzustellen, wenn ich sie manuell gelöscht habe. Soviel dazu, hier dann der geforderte OTLPE-Log: OTL logfile created on: 5/8/2010 12:08:04 PM - Run OTLPE by OldTimer - Version 3.1.38.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 111.80 Gb Total Space | 22.89 Gb Free Space | 20.48% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive X: | 276.80 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO Current User Name: SYSTEM Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV - [2010/03/13 08:44:37 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2009/08/19 14:04:40 | 000,822,936 | ---- | M] (BinarySense, Inc.) [Disabled] -- C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe -- (HDDlife HDD Access service) SRV - [2009/04/13 21:58:40 | 000,488,768 | ---- | M] (Trend Micro Inc.) [On_Demand] -- C:\Programme\Trend Micro\Internet Security\TmPfw.exe -- (TmPfw) SRV - [2009/04/13 21:58:04 | 000,703,008 | ---- | M] (Trend Micro Inc.) [Auto] -- C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe -- (SfCtlCom) SRV - [2009/01/31 11:03:08 | 000,648,456 | ---- | M] (Trend Micro Inc.) [On_Demand] -- C:\Programme\Trend Micro\Internet Security\TmProxy.exe -- (tmproxy) SRV - [2008/11/03 20:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2008/02/15 17:39:30 | 000,333,064 | ---- | M] (Trend Micro Inc.) [Auto] -- C:\Programme\Trend Micro\BM\TMBMSRV.exe -- (TMBMServer) SRV - [2007/05/28 12:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto] -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - File not found [Kernel | On_Demand] -- -- (catchme) DRV - [2010/05/07 19:08:46 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) DRV - [2009/12/04 10:39:06 | 000,230,928 | ---- | M] (Trend Micro Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tmxpflt.sys -- (tmxpflt) DRV - [2009/12/04 10:38:18 | 000,036,368 | ---- | M] (Trend Micro Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tmpreflt.sys -- (tmpreflt) DRV - [2009/12/04 10:05:06 | 001,322,680 | ---- | M] (Trend Micro Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\vsapint.sys -- (vsapint) DRV - [2009/11/16 11:51:55 | 000,025,280 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi) DRV - [2009/08/22 04:27:58 | 000,281,760 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2009/08/22 04:27:58 | 000,025,888 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2009/06/10 00:03:00 | 008,087,712 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2009/04/02 10:00:12 | 000,052,752 | ---- | M] (Trend Micro Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tmactmon.sys -- (tmactmon) DRV - [2009/04/02 10:00:08 | 000,052,624 | ---- | M] (Trend Micro Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tmevtmgr.sys -- (tmevtmgr) DRV - [2009/04/02 10:00:00 | 000,142,864 | ---- | M] (Trend Micro Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\tmcomm.sys -- (tmcomm) DRV - [2008/08/14 02:57:42 | 000,074,720 | ---- | M] (Adobe Systems, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\adfs.sys -- (adfs) DRV - [2008/02/15 17:39:32 | 000,333,328 | ---- | M] (Trend Micro Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TM_CFW.sys -- (tmcfw) DRV - [2008/02/15 17:39:32 | 000,065,936 | ---- | M] (Trend Micro Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\tmtdi.sys -- (tmtdi) DRV - [2007/05/18 05:01:50 | 000,304,640 | ---- | M] (Analog Devices, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService) DRV - [2006/06/28 10:25:06 | 000,081,920 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2006/03/17 12:18:58 | 000,392,960 | ---- | M] (Sensaura) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService) DRV - [2004/10/27 09:21:36 | 000,138,240 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Hdaudbus.sys -- (HDAudBus) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Dominik!_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ IE - HKU\Dominik!_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.http: "213.164.26.4" FF - prefs.js..network.proxy.http_port: 2301 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010/04/28 12:43:48 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/04/19 16:13:00 | 000,000,000 | ---D | M] [2009/07/21 09:50:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\mozilla\Extensions [2010/05/01 03:54:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\mozilla\Firefox\Profiles\q17mbo88.default\extensions [2010/05/07 18:30:09 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010/03/14 04:47:42 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010/03/14 04:47:42 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010/03/14 04:47:42 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010/03/14 04:47:42 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010/03/14 04:47:42 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2002/08/29 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask .exe (Apple Inc.) O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4 .exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [UfSeAgnt.exe] C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe (Trend Micro Inc.) O4 - HKU\Dominik!_ON_C..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O4 - Startup: C:\Dokumente und Einstellungen\Dominik!\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox\bin\Dropbox.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\Dominik!_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\Dominik!_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\Dominik!_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\Dominik!_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248177912125 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009/07/21 07:10:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{471dd703-9ca2-11d6-a46e-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{471dd703-9ca2-11d6-a46e-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{471dd703-9ca2-11d6-a46e-806d6172696f}\Shell\AutoRun\command - "" = D:\reatogoMenu.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2015/08/24 08:48:37 | 000,000,000 | ---D | C] -- C:\Programme\Alcohol Soft [2015/08/24 08:46:57 | 000,691,696 | ---- | C] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys [2010/05/07 19:08:37 | 000,000,000 | ---D | C] -- C:\Programme\LSoft Technologies [2010/05/07 19:06:32 | 004,940,440 | ---- | C] (Macrovision Corporation) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\IsoBurner-Setup.exe [2010/05/07 18:29:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Dominik!\Recent [2010/05/07 18:26:57 | 000,000,000 | ---D | C] -- C:\Programme\ICQ6.5 [2010/05/06 09:39:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Fotos [2010/05/06 08:33:44 | 001,285,632 | ---- | C] (Analog Devices) -- C:\WINDOWS\System32\SMMedia.dll [2010/05/06 08:33:44 | 000,053,248 | ---- | C] (Analog Devices Inc.) -- C:\WINDOWS\System32\wdmioctl.dll [2010/05/06 08:33:43 | 000,049,152 | ---- | C] (Analog Devices Inc.) -- C:\WINDOWS\System32\DSndUp.exe [2010/05/06 08:33:42 | 000,045,056 | ---- | C] (adi) -- C:\WINDOWS\System32\CleanUp.exe [2010/05/06 08:27:55 | 000,765,952 | ---- | C] (Sensaura Ltd) -- C:\WINDOWS\System\crlds3d.dll [2010/05/06 08:27:55 | 000,392,960 | ---- | C] (Sensaura) -- C:\WINDOWS\System32\drivers\senfilt.sys [2010/05/06 08:27:55 | 000,304,640 | ---- | C] (Analog Devices, Inc.) -- C:\WINDOWS\System32\drivers\ADIHdAud.sys [2010/05/06 08:27:55 | 000,028,160 | ---- | C] (Analog Devices, Inc.) -- C:\WINDOWS\System32\PostProc.dll [2010/05/05 17:12:14 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2010/05/05 16:55:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\osam_autorun_manager_5_0_portable [2010/05/04 18:49:53 | 000,000,000 | RHSD | C] -- C:\cmdcons [2010/05/03 15:50:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\tdsskiller [2010/05/03 15:03:18 | 000,000,000 | ---D | C] -- C:\_OTL [2010/05/03 14:20:09 | 000,570,880 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\OTL.exe [2010/05/02 15:50:11 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\NetworkService\Cookies [2010/05/02 14:55:44 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010/05/02 14:55:41 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010/05/02 14:55:41 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010/05/02 14:55:41 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010/05/02 14:55:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010/05/02 14:50:54 | 000,000,000 | ---D | C] -- C:\Qoobox [2010/05/02 13:58:55 | 000,000,000 | ---D | C] -- C:\rsit [2010/05/02 13:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Malwarebytes [2010/05/02 13:38:01 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010/05/02 13:37:59 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010/05/02 13:37:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010/05/02 05:25:48 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010/05/02 05:16:19 | 000,000,000 | ---D | C] -- C:\Config.Msi [2010/05/02 04:36:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Google [2010/04/28 16:22:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\backups [2010/04/28 16:04:03 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\HiJackThis.exe [2010/04/27 16:33:23 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\NetworkService\Favoriten [2010/04/27 16:28:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010/04/27 16:28:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010/04/23 14:48:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Xfire [2010/04/23 14:48:06 | 000,000,000 | ---D | C] -- C:\Programme\Xfire [2010/04/22 12:44:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Desktop\mist [2010/04/20 16:08:41 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2010/04/19 16:11:10 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime [2010/04/10 12:41:03 | 000,000,000 | ---D | C] -- C:\Programme\SopCast [2009/07/21 10:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2009/07/21 10:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2009/07/21 10:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2009/07/21 10:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ ========== Files - Modified Within 30 Days ========== [2010/05/08 04:58:04 | 000,262,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [2010/05/08 04:58:04 | 000,229,376 | -H-- | M] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [2010/05/08 04:58:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010/05/08 04:57:53 | 007,340,032 | -H-- | M] () -- C:\Dokumente und Einstellungen\Dominik!\NTUSER.DAT [2010/05/08 04:57:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Dominik!\ntuser.ini [2010/05/08 04:09:39 | 000,235,289 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010/05/08 04:09:38 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010/05/07 19:51:43 | 290,242,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\OTLPE.iso [2010/05/07 19:33:56 | 000,045,030 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\1199813114787.jpg [2010/05/07 19:33:27 | 000,223,190 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\1196715058415.jpg [2010/05/07 19:32:35 | 000,063,727 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\1192229623457.jpg [2010/05/07 19:08:46 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys [2010/05/07 19:06:57 | 004,940,440 | ---- | M] (Macrovision Corporation) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\IsoBurner-Setup.exe [2010/05/07 05:04:03 | 018,857,984 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Charatest1.indd [2010/05/06 18:39:14 | 011,571,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Chara_dickrand_vorlage3test.indd [2010/05/06 12:05:15 | 002,908,160 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Chara_dickrand_vorlage2test.indd [2010/05/06 11:07:35 | 002,183,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Chara_dickrand_vorlage2.indd [2010/05/05 18:49:07 | 000,000,000 | ---- | M] () -- C:\debug [2010/05/05 04:26:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010/05/04 18:58:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010/05/04 18:57:10 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010/05/04 18:50:03 | 000,000,281 | RHS- | M] () -- C:\boot.ini [2010/05/04 16:23:28 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010/05/03 14:43:39 | 000,000,820 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\tmvsthfud.bin [2010/05/03 14:43:37 | 000,000,820 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\tmvsthfss.bin [2010/05/03 14:20:09 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\OTL.exe [2010/05/03 04:31:41 | 115,565,568 | ---- | M] () -- C:\WINDOWS\outlook.pst [2010/05/03 03:34:46 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\dees8bjo.exe [2010/05/02 14:48:54 | 003,926,150 | R--- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\ComboFix.exe [2010/05/02 14:02:14 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010/05/02 13:58:22 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\RSIT.exe [2010/04/29 15:59:54 | 000,000,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Day of Defeat Source.url [2010/04/29 09:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010/04/29 09:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010/04/28 16:21:26 | 000,000,934 | ---- | M] () -- C:\WINDOWS\win.ini [2010/04/28 16:21:26 | 000,000,211 | ---- | M] () -- C:\Boot.bak [2010/04/28 16:04:04 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Dominik!\Desktop\HiJackThis.exe [2010/04/26 09:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe [2010/04/16 16:30:30 | 000,041,872 | ---- | M] () -- C:\WINDOWS\System32\xfcodec.dll [2010/04/10 12:41:03 | 000,000,638 | ---- | M] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast.lnk ========== Files Created - No Company Name ========== [2010/05/07 19:33:54 | 000,045,030 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\1199813114787.jpg [2010/05/07 19:33:17 | 000,223,190 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\1196715058415.jpg [2010/05/07 19:32:26 | 000,063,727 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\1192229623457.jpg [2010/05/07 19:12:43 | 290,242,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\OTLPE.iso [2010/05/06 19:16:34 | 018,857,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Charatest1.indd [2010/05/06 17:22:57 | 011,571,200 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Chara_dickrand_vorlage3test.indd [2010/05/06 12:05:15 | 002,908,160 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Chara_dickrand_vorlage2test.indd [2010/05/06 11:07:34 | 002,183,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Chara_dickrand_vorlage2.indd [2010/05/05 18:49:07 | 000,000,000 | ---- | C] () -- C:\debug [2010/05/04 18:50:03 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2010/05/04 18:50:02 | 000,262,448 | ---- | C] () -- C:\cmldr [2010/05/03 03:34:45 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\dees8bjo.exe [2010/05/02 14:55:44 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010/05/02 14:55:41 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010/05/02 14:55:41 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010/05/02 14:55:41 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010/05/02 14:55:41 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010/05/02 14:48:39 | 003,926,150 | R--- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\ComboFix.exe [2010/05/02 13:58:18 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\RSIT.exe [2010/05/02 04:36:02 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010/04/29 15:59:54 | 000,000,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\Day of Defeat Source.url [2010/04/16 16:30:30 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll [2010/04/10 12:41:03 | 000,000,638 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Desktop\SopCast.lnk [2010/02/17 14:55:00 | 000,044,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Anlagen.pdf [2010/02/13 14:40:09 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\PUTTY.RND [2010/01/03 07:07:22 | 000,000,311 | ---- | C] () -- C:\WINDOWS\keytrans.ini [2010/01/03 07:06:53 | 000,000,766 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\Will.ico [2010/01/03 07:06:52 | 002,206,317 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\Fontinfo.hlp [2010/01/03 07:06:48 | 000,006,870 | ---- | C] () -- C:\WINDOWS\Keytran1.ini [2009/11/24 15:01:29 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009/11/21 17:41:47 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2009/11/19 12:00:23 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009/11/16 13:10:50 | 000,000,025 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2009/09/20 07:45:35 | 000,000,042 | ---- | C] () -- C:\WINDOWS\SBCONFIG.INI [2009/09/20 07:45:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\AN2R_SoloBug.INI [2009/08/24 08:52:16 | 000,000,243 | ---- | C] () -- C:\WINDOWS\Clony2.ini [2009/08/22 04:27:58 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009/08/22 04:27:58 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009/08/15 10:31:37 | 000,008,252 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\helden.zip.hld [2009/08/15 09:50:49 | 000,002,163 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\.heldEinstellungen4_1.xml [2009/08/15 09:50:49 | 000,000,197 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\.dsa4.properties [2009/07/29 10:26:50 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Dominik!\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009/07/22 16:29:30 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini [2009/07/22 16:29:29 | 000,000,634 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009/07/21 07:15:08 | 000,356,352 | -H-- | C] () -- C:\Dokumente und Einstellungen\Dominik!\ntuser.dat.LOG [2009/07/21 07:15:08 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Dominik!\ntuser.ini [2009/07/21 07:15:07 | 007,340,032 | -H-- | C] () -- C:\Dokumente und Einstellungen\Dominik!\NTUSER.DAT [2009/07/21 07:12:51 | 000,262,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [2009/07/21 07:12:51 | 000,229,376 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [2009/07/21 07:12:51 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [2009/07/21 07:12:51 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [2009/07/21 07:12:51 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.ini [2009/07/21 07:12:51 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.ini [2009/06/10 02:29:34 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2009/06/10 02:29:34 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2009/06/10 02:29:34 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2009/06/10 02:29:32 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008/10/07 03:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008/10/07 03:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008/10/07 03:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [1996/12/13 18:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL [1996/12/13 18:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL [1996/12/13 18:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL ========== LOP Check ========== [2010/01/08 12:49:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\BinarySense [2009/10/10 01:05:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\cbuenger [2010/05/08 04:10:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Dropbox [2010/05/03 03:11:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2010/05/03 03:11:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2010/05/03 03:11:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2010/05/03 03:11:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2010/05/03 03:11:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\ICQ [2009/09/03 09:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\sim [2009/12/23 17:19:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dominik!\Anwendungsdaten\Unity ========== Purity Check ========== < End of report > danke vielmals, tut mir wirklichLleid dass es solange dauert, aber ich sitz grad quasi 24/7 am arbeiten hier am Rechner, muss da was fertig bekommen.... war ne sehr blöde Zeit n Virus einzusammeln :// Grüße, Dingens |
Hm, ich seh dort aber als einzige verdächtigen Einträge nur diese hier: Zitat:
Danach würde ich mal einen Scan mit aktuellem Malwarebytes im abgesicherten Modus vorschlagen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board