Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" (https://www.trojaner-board.de/88446-avira-meldet-r-crypt-xpack-gen2-bds-bredolab-foh.html)

ReBlubb 20.07.2010 20:22
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
 
Hallo...sorry schonmal für den folgenden langen Post, aber lange Geschichte...
Ich bin vor einigen Tagen auf attackierenden Seiten gelandet.Avira hat jedesmal sofort Alarm geschrieen, Meldung war
Code:
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\736B9F3Dd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
das ganze 3 mal- bei den ersten beiden Malen Zugriff erlaubt, beim 3.mal verweigert.Ich habe immer "Entfernen" angeklickt.

Die 2. Warnung war
Code:
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\B3320EFFd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
kam 2mal, beim ersten mal erlaubt, beim 2.Mal Zugriff verweigert.

Beide Warnungen kamen vom Guard.
In beiden Fällen kam rechts unten das Avira-Warnkästchen, und wenn ich was angeklickt hab, ist in Bildschirmmitte ein kleines Avira-Kästchen aufgegangen,in dem stand nur Avira-Suchlauf und ein Zeitbalken.Weit entfernt vom Aussehen des normalen Luke Filewalker.Ich hab das jeweils ganz schnell über den Taskmanager ausgeschaltet weil mir das spanisch vorkam.

Dann hab ich nen Avira-Suchlauf selber initiiert, und dabei kamen beide Meldungen wieder,diesmal mit der Meldung, dass die Dateien ins Quarantäneverzeichnis verschoben wurden.Vorerst war ich dann beruhigt.

Heute schalt ich den Rechner ein, dann kommt Avira plötzlich im Minutentakt mit folgender Meldung:
Code:
In der Datei 'C:\WINXP\system32\autoager.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Ansonsten wieder dasselbe:Entfernen geklickt- und der "suchlauf" fing wieder an, den ich gestoppt hab.Das auffällige:Diese Meldung kam 6 mal durch, jedesmal identischer Text. Aber wenn ich jetzt ins Avira LOG reinschaue, steht die Meldung da 15mal drin, immer in den Minuten der mir gezeigten Meldung noch 1-2 mal.Gemeldet wurde alles vom Guard, und jedesmal Zugriff verweigert.Seit ner halben Std is plötzlich Ruhe.

Malwarebytes Anti-Malware hab ich damals schon drüberlaufen lassen, keine Meldung.Auch heute, also gerade eben, hab ich es die Datei "WINXP" durchsuchen lassen, noch in der Zeit in der ständig mein Avira alarm geschriien hat- keine Treffer, MBAM sagt "alles sauber".

Und zuletzt:
Als das vorhin losging mit den Meldungen, hab ich zum Ableich mein Avira-Log durchsucht, und folgende Einträge gefunden:
Code:
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\pdfupd.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.foh' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern
, diese 2mal mit verweigert, dann 1 mal mit erlaubt, gefolgt von 2 mal dem Eintrag
Code:
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9CN00FZK\svchost[1].exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.foh' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Nach rumhorchen hab ich mitbekommen dass da ein Kumpel von mir am Rechner war, er erzählt ungefähr dasselbe wie ich beim ersten Alarm vor einigen Tagen hatte...auf "Entfernen" gegangen als die Meldung kam, seltsamer Suchlauf, und auch er hat ihn per Taskmanager unterbrochen.

Fragen:
1.Wieso erlaubt Avira nen Zugriff?
2.Ist MBAM so unzuverlässig?
3.Was genau ist da passiert???
4.Ich bitte um Hilfe bei der Systembereinigung.


Ich surfe unter eingeschränktem Benutzerkonto.MBAM hat dammit beim Suchlauf keine Probleme, Lop SD hat am anfang vom Suchlauf massenhaft Fehlermeldungen gebracht,und dann kein Log abgespeichert,liegt das an den Viren oder am eingeschränkten Konto?Und RSIT meldet gleich dass es Adminrechte braucht.
Dazu folgende Frage:Wenn ich diese Suchläufe unter Adminrechten mache, besteht dann nicht die Gefahr dass die Malware, die ja bisher zumindest nicht allzuviel anrichten konnte, erst richtig zuschlägt, wenn sie plötzlich Adminrechte bekommt?
Das ist mir leider erst eingefallen, als ich mich kurz als Admin angemeldet hatte um die Scans zu machen, ich hab dann sofort den Rechner runtergefahren, kann da schon was passiert sein?

cosinus 21.07.2010 18:31
Zitat:
Nach rumhorchen hab ich mitbekommen dass da ein Kumpel von mir am Rechner war,
Was genau hat der da am PC gemacht? Wieso hatte er Adminrechte wenn Du keine zum normalen Arbeiten benutzt?

Zitat:
Dazu folgende Frage:Wenn ich diese Suchläufe unter Adminrechten mache, besteht dann nicht die Gefahr dass die Malware, die ja bisher zumindest nicht allzuviel anrichten konnte, erst richtig zuschlägt, wenn sie plötzlich Adminrechte bekommt?
Dass Du eingeschränkte Rechte nutzt ist löblich, aber das System ist schon kompromittiert, denn wie sonst kann da ein Schädling im Windows-Ordner sein? Da hat ein normaler Benutzer keine Schreibrechte!

Zitat:
1.Wieso erlaubt Avira nen Zugriff?
Wo "erlaubt" AntiVir irgendwas? Es ist bestimmt keine Absicht, dass virulente Dateien "erlaubt" werden, vielmehr ist es so, dass kein Virenscanner jemals zu 100% jeden Schädling finden kann!

Zitat:
2.Ist MBAM so unzuverlässig?
Siehe oben, kein Tool findet zu 100% alle Schädlinge.
MBAM an sich ist ein sehr effizientes Anti-Malware-Tool.

Zitat:
3.Was genau ist da passiert???
Das weiß wohl nur Dein "Kumpel" (toller Kumpel, der shice auf Deinem Rechner ausführt :balla:)

Zitat:
4.Ich bitte um Hilfe bei der Systembereinigung.
Poste das Logfile von MBAM auch wenn keine Funde dabei waren.

ReBlubb 21.07.2010 20:28
Zitat:
Zitat von cosinus (Beitrag 544496)
Was genau hat der da am PC gemacht? Wieso hatte er Adminrechte wenn Du keine zum normalen Arbeiten benutzt?
Dass Du eingeschränkte Rechte nutzt ist löblich, aber das System ist schon kompromittiert, denn wie sonst kann da ein Schädling im Windows-Ordner sein? Da hat ein normaler Benutzer keine Schreibrechte!
Ähm...Das eingeschränkte Konto hab ich erst angelegt als diese erste Attacke vor einigen Tagen kam.
Kann´s sein dass der Rechner da schon was abbekommen hat?Den Zugangspass zum Adminkonto kennt er nicht mal.Oder später, als ich zwar beim surfen das eingeschränkte Konto hatte, aber kurz für die Scans in den Adminzugang rüber bin?Scheiss gemacht hat er ja nicht, zumindest net bewusst.Da haben wir ein bisschen nen Medienabend gemacht, die eine Hälfte is vor der PS gesessen, die andere hat rumgesurft.

Zitat:
Zitat von cosinus (Beitrag 544496)
Wo "erlaubt" AntiVir irgendwas? Es ist bestimmt keine Absicht, dass virulente Dateien "erlaubt" werden, vielmehr ist es so, dass kein Virenscanner jemals zu 100% jeden Schädling finden kann!
Gefunden hat er ihn ja, aber "Zugriff erlaubt"?



Zitat:
Zitat von cosinus (Beitrag 544496)
Siehe oben, kein Tool findet zu 100% alle Schädlinge.
MBAM an sich ist ein sehr effizientes Anti-Malware-Tool.
Poste das Logfile von MBAM auch wenn keine Funde dabei waren.
Mich hat halt gewundert dass in eiunem Ordner, in dem Avira parmanent Meldungen bringt, Mbam nix findet.Falscher Typ für Mbam?

Hier das Logfile:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4336

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.07.2010 21:20:49
mbam-log-2010-07-21 (21-20-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 158017
Laufzeit: 23 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Zu diesem eigeninitiierten Suchlauf von Avira:Ist das wirklich eine Avira-Funktion?Bei den Meldungen, egal ob bei den ersten die ich gesehen hab, von der Webseite im Tempordner, oder jetzt, bei den Meldungen von der Malware unter WinXP,hat sofort ein Suchlauf begonnen, egal was ich angeklickt habe.aber nur ein kleines Kästschen, und ohne "beenden"-Taste.
Oder ist das die Malware die sich so tarnt oder ähnliches?Sah mir einfach komisch aus.

cosinus 22.07.2010 13:58
Zitat:
Ähm...Das eingeschränkte Konto hab ich erst angelegt als diese erste Attacke vor einigen Tagen kam.
Kann´s sein dass der Rechner da schon was abbekommen hat?Den Zugangspass zum Adminkonto kennt er nicht mal.
Passt irgendwie nicht zusammen.
Wenn Du das eingeschränkte Konto erst danach erstellt hast, wird er mit Adminrechten gesurft haben.

Zitat:
Gefunden hat er ihn ja, aber "Zugriff erlaubt"?
Automatisch oder hast Du den Zugriff abgenickt?


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

ReBlubb 22.07.2010 20:40
So....hier die logfiles...in deinem link sind die Kästchen LOP und Ourity rechts unten angeklickt, in deiner Beschreibung erwähnst du nix davon...ich hab mal mit probiert:

[/CODE]OTL Logfile:
Code:
OTL logfile created on: 22.07.2010 20:49:58 - Run 4
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 623,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,40 Gb Free Space | 11,81% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
NOT logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = ht  tp://www.xxx.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = ht  tp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 18 90 E9 F8 84 EC CA 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "ht  tp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "ht  tp://www.Google.de"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.4
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.06 00:10:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.27 10:54:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.06.18 17:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.06.18 17:54:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.06.18 17:54:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.07.21 21:31:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\extensions
[2010.07.13 20:26:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.07.13 20:26:18 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKCU..\Run: [{204D54A9-590E-7316-B9D4-B783363BBC3D}] C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Vozaz\yxew.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 43 01 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht  tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht  tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht  tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} ht  tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht  tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ht  tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.22 20:25:01 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.20 22:07:11 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.06.30 22:14:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit Software
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.22 20:25:02 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 20:07:27 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.07.22 20:07:02 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.07.22 20:06:57 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.21 23:38:31 | 005,767,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.21 23:38:31 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.21 20:49:08 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.19 00:13:31 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Lohnrechner.xls
[2010.07.18 07:31:51 | 066,281,006 | ---- | M] () -- C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Vid1.flv
[2010.07.16 03:23:31 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxDesktop\CCleaner.lnk
[2010.07.14 00:54:17 | 067,459,978 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid3.flv
[2010.07.14 00:47:11 | 022,431,513 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid2.avi.flv
[2010.07.10 17:48:43 | 066,887,065 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid4.flv
[2010.07.09 18:50:43 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Theke.xls
[2010.07.08 22:41:55 | 000,080,896 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Kennzahlen.xls
[2010.07.06 00:20:09 | 051,265,163 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid5.flv
[2010.07.02 00:55:13 | 088,967,977 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid8.flv
[2010.06.30 22:14:14 | 010,609,547 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\SSP 111 motronic 3B.pdf
[2010.06.30 20:00:01 | 007,226,537 | ---- | M] () -- C:\Dokumente und Einstellungen\Olli\Desktop\3b Mechanik.pdf
[2010.06.29 01:27:12 | 128,123,654 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid9.flv
[2010.06.26 15:42:09 | 004,163,048 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Lass die Finger von der Vuvuzela - Fettes Brot Schallplatten.flv
[2010.06.23 23:15:48 | 000,080,880 | ---- | M] () -- C:\Dokumente und Einstellungenxxx\Desktop\Private-Nachrichten-Turbonaut-23.06.2010.xml
[2010.06.22 23:56:35 | 080,122,990 | ---- | M] () -- C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Vid12.wmv-2.flv
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.19 00:13:20 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Lohnrechner.xls
[2010.07.18 07:17:06 | 066,281,006 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid1.flv
[2010.07.14 00:46:38 | 022,431,513 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid2.avi.flv
[2010.07.14 00:43:45 | 067,459,978 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid3.flv
[2010.07.10 17:34:51 | 066,887,065 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid4.flv
[2010.07.08 21:10:08 | 000,080,896 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Kennzahlen.xls
[2010.07.06 00:10:46 | 051,265,163 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid5.flv
[2010.07.02 00:32:18 | 088,967,977 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid8.flv
[2010.06.30 22:14:11 | 010,609,547 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\SSP 111 motronic 3B.pdf
[2010.06.30 19:59:59 | 007,226,537 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\3b Mechanik.pdf
[2010.06.29 00:51:54 | 128,123,654 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid9.flv
[2010.06.26 15:40:51 | 004,163,048 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Lass die Finger von der Vuvuzela - Fettes Brot Schallplatten.flv
[2010.06.23 23:15:46 | 000,080,880 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Private-Nachrichten-xxx-23.06.2010.xml
[2010.06.22 23:54:37 | 080,122,990 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid12.wmv-2.flv
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,175,865 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,113,869 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.07.20 20:12:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Cydiq
[2009.08.26 00:45:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit
[2010.06.30 22:14:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit Software
[2010.07.20 00:17:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ
[2009.05.27 01:46:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Samsung
[2010.06.18 17:54:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
[2009.05.27 00:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\TOSHIBA
[2009.06.28 11:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Vozaz
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---



[/CODE]OTL Logfile:
Code:
OTL Extras logfile created on: 22.07.2010 20:49:58 - Run 4
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Olli\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 623,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,40 Gb Free Space | 11,81% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
NOT logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Disabled:ICQ6 -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6)
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
Error: Unable to start EventLog service!
 
< End of report >
--- --- ---


Und hierzu gleich ne Frage: Im ersten Post les ich immer noch was von drei online-scans die ich vor Monaten mal gemacht hab, verbleiben die Geschichten auf em Rechner?Ich lasse regelmässig CCleaner durchlaufen, und habe nach diesen Scans auch nie wieder was mit den Seiten zu tun gehabt, wieso schwirren da immer noch Einträge auf meinem Rechner rum?

Ich wüsste nicht, dass ich den Zugriff abgenickt hab, hab lediglich ein oder zweimal gar nix angeklickt, oder erst sehr viel später "entfernen" geklickt, weil ich nachdem das kleine Suchfenster beim erstenmal aufging bei der 2.Meldung erstmal ein neues Tab aufgemacht hab und kurz gegoogelt hab ob ich was darüber finde.

cosinus 22.07.2010 20:55
Zitat:
========== Win32 Services (SafeList) ==========
========== Driver Services (SafeList) ==========
========== Standard Registry (SafeList) ==========
Das war irgendwie nichts, bitte OTL nochmal ausführen und ein neues OTL-Log posten. Die drei o.g. Sektionen sind bei Dir leer, ist nicht normal.

Zitat:
Und hierzu gleich ne Frage: Im ersten Post les ich immer noch was von drei online-scans die ich vor Monaten mal gemacht hab, verbleiben die Geschichten auf em Rechner?Ich lasse regelmässig CCleaner durchlaufen, und habe nach diesen Scans auch nie wieder was mit den Seiten zu tun gehabt, wieso schwirren da immer noch Einträge auf meinem Rechner rum?
Was für Online-Scans meinst Du da?

ReBlubb 22.07.2010 21:28
Selbes Ergebnis.Kann´s sein dass es daran liegt dass ich im eingeschränkten Konto bin?Kann ich bedenkenlos in´s Adminkonto wechseln?

Diese Einträge:

Code:
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht  tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
.
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
.
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
Die drei.Das waren online-Virenscans vor bestimmt nem halben Jahr oder so.Wobei ich mir bei letztem nicht sicher bin...

cosinus 22.07.2010 22:18
Zitat:
Selbes Ergebnis.Kann´s sein dass es daran liegt dass ich im eingeschränkten Konto bin?Kann ich bedenkenlos in´s Adminkonto wechseln?
Oje, ich dachte das sollte eigentlich selbstverständlich sein, dass Du solche Analysetools nur mit Adminrechten ausführst! Ist doch logisch, dass man uneingeschränkten Zugriff aufs System braucht...

ReBlubb 22.07.2010 22:53
Deswegen hab ich ja extra gefragt ob das nicht die Gefahr birgt dass der Virus sich dann noch weiter ausbreitet oder in noch mehr Ordnern festsetzt.... :-D

Code:
OTL logfile created on: 22.07.2010 23:32:23 - Run 6
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Adminkonto\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 729,00 Mb Available Physical Memory | 71,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,36 Gb Free Space | 11,71% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: Adminkonto
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (IRENUM) -- C:\WINXP\System32\DRIVERS\irenum.sys File not found
DRV - (catchme) -- C:\DOKUME~1\xxx\LOKALE~1\Temp\catchme.sys File not found
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FWLANUSB) -- C:\WINXP\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINXP\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (tosrfbd) -- C:\WINXP\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) -- C:\WINXP\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (tosrfbnp) -- C:\WINXP\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosrfusb) -- C:\WINXP\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (tosporte) -- C:\WINXP\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINXP\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (Tosrfcom) -- C:\WINXP\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (tosrfnds) -- C:\WINXP\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINXP\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.22 23:30:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.22 21:44:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.06.18 17:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\extensions
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ht tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ht tp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tps\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tps\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.22 23:33:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Malwarebytes
[2010.07.22 23:31:36 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 23:31:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla
[2010.07.11 05:07:34 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\IETldCache
[2010.07.11 05:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Identities
[2010.07.11 05:07:23 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\Cookies
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\SendTo
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Favoriten
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Vorlagen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Netzwerkumgebung
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Druckumgebung
[2010.07.11 05:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.22 23:36:47 | 000,786,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.22 23:31:39 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 20:07:27 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.07.22 20:07:02 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.07.22 20:06:57 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.21 20:49:08 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.11 05:51:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:51:18 | 003,241,156 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.11 05:08:46 | 000,000,075 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2010.07.11 05:07:12 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:07:10 | 000,786,432 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.11 05:07:10 | 000,061,440 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,175,865 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,113,869 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx \Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
Code:
OTL Extras logfile created on: 22.07.2010 23:32:23 - Run 6
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 729,00 Mb Available Physical Memory | 71,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,36 Gb Free Space | 11,71% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Disabled:ICQ6 -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2010 20:05:21 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 11.01.2010 14:54:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 11.01.2010 14:54:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 11.01.2010 14:54:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 17.07.2010 08:09:59 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.07.2010 14:00:06 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.07.2010 23:53:06 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 18.07.2010 08:37:48 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 18.07.2010 18:31:36 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 19.07.2010 06:44:27 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 20.07.2010 14:05:58 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 21.07.2010 14:49:16 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 21.07.2010 16:38:44 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 22.07.2010 14:07:32 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
  %%126
 
 
< End of report >

cosinus 22.07.2010 22:56
Zitat:
Deswegen hab ich ja extra gefragt ob das nicht die Gefahr birgt dass der Virus sich dann noch weiter ausbreitet oder in noch mehr Ordnern festsetzt.... :-D
Wenn Dein Rechner eh schon kompromittiert ist? :dummguck:
Wie willst Du mit eingeschränkten Rechten was aus dem Windows-Ordner löschen? :D


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll File not found
:Files
C:\WINXP\system32\autoager.dll
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ReBlubb 26.07.2010 19:25
Ist das normal dass Der Fix die ganze Nacht mit 100% Auslastung am ackern ist?
Als ich morgens aufgewacht bin war er zwr fertig, aber als ich dann den Neustart bestätigt hab hat er sich vollends aufgehängt.
Hab das ganze dann nochmal durchlaufen lassen, da war´s ne Sache von 5 sek :-) sieht danach aus als ob es beim 1.mal erfolgreich war.Hier die Logs:

Code:
OTL logfile created on: 26.07.2010 19:56:17 - Run 7
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Adminkonto\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,38 Gb Free Space | 11,75% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (IRENUM) -- C:\WINXP\System32\DRIVERS\irenum.sys File not found
DRV - (catchme) -- C:\DOKUME~1\xxx2\LOKALE~1\Temp\catchme.sys File not found
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FWLANUSB) -- C:\WINXP\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINXP\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (tosrfbd) -- C:\WINXP\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) -- C:\WINXP\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (tosrfbnp) -- C:\WINXP\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosrfusb) -- C:\WINXP\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (tosporte) -- C:\WINXP\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINXP\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (Tosrfcom) -- C:\WINXP\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (tosrfnds) -- C:\WINXP\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINXP\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.22 23:30:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.22 21:44:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.06.18 17:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\extensions
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.26 19:52:30 | 000,000,098 | ---- | M]) - C:\WINXP\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.23 00:40:08 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.07.23 00:36:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia
[2010.07.23 00:36:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe
[2010.07.23 00:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Avira
[2010.07.22 23:33:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
[2010.07.22 23:31:36 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 23:31:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla
[2010.07.11 05:07:34 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\IETldCache
[2010.07.11 05:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Identities
[2010.07.11 05:07:23 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\Cookies
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\SendTo
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Favoriten
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Vorlagen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Netzwerkumgebung
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Druckumgebung
[2010.07.11 05:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.26 19:54:07 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.07.26 19:53:42 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.07.26 19:53:37 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.26 19:52:42 | 001,048,576 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.26 19:52:42 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.26 19:52:30 | 000,000,098 | ---- | M] () -- C:\WINXP\System32\drivers\etc\Hosts
[2010.07.26 19:46:47 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.23 07:04:26 | 003,241,942 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.22 23:31:39 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
 
========== Files Created - No Company Name ==========
 
[2010.07.11 05:08:46 | 000,000,075 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2010.07.11 05:07:12 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:07:10 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.11 05:07:10 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,175,865 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,113,869 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
Code:
OTL Extras logfile created on: 26.07.2010 19:56:17 - Run 7
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,38 Gb Free Space | 11,75% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
ht tp [open] -- Reg Error: Key error.
ht tps [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Disabled:ICQ6 -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 14.01.2010 14:51:41 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.01.2010 14:51:41 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.01.2010 14:51:41 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 15.01.2010 13:26:47 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.01.2010 13:26:47 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.01.2010 13:26:47 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 22.07.2010 18:40:08 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.07.2010 18:40:08 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "AVM WLAN Connection Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 22.07.2010 18:40:09 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.07.2010 18:40:09 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Bluetooth Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 22.07.2010 18:40:09 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Canon Camera Access Library 8" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "AVM WLAN Connection Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Bluetooth Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Canon Camera Access Library 8" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:30 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
 
< End of report >

ReBlubb 26.07.2010 21:11
HAb dann gleich noch nen Suchlauf von Avira hinterher geschoben...irgendwie ist der aber in ne Dauerschleife gegangen, nach knapp anderthalb Std hab ich entnervt abgebrochen, da hat er ein und dieselbe Datei 5 mal gefunden.Hier das Log:

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 26. Juli 2010  20:30

Es wird nach 2574572 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : PC1

Versionsinformationen:
BUILD.DAT      : 10.0.0.567    32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE    : 10.0.3.0      433832 Bytes  21.04.2010 18:12:46
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  21.04.2010 18:12:46
LUKE.DLL      : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 18:41:49
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 13:15:40
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 18:25:49
VBASE008.VDF  : 7.10.9.166      2048 Bytes  23.07.2010 18:25:49
VBASE009.VDF  : 7.10.9.167      2048 Bytes  23.07.2010 18:25:49
VBASE010.VDF  : 7.10.9.168      2048 Bytes  23.07.2010 18:25:49
VBASE011.VDF  : 7.10.9.169      2048 Bytes  23.07.2010 18:25:49
VBASE012.VDF  : 7.10.9.170      2048 Bytes  23.07.2010 18:25:49
VBASE013.VDF  : 7.10.9.198    157696 Bytes  26.07.2010 18:25:49
VBASE014.VDF  : 7.10.9.199      2048 Bytes  26.07.2010 18:25:49
VBASE015.VDF  : 7.10.9.200      2048 Bytes  26.07.2010 18:25:50
VBASE016.VDF  : 7.10.9.201      2048 Bytes  26.07.2010 18:25:50
VBASE017.VDF  : 7.10.9.202      2048 Bytes  26.07.2010 18:25:50
VBASE018.VDF  : 7.10.9.203      2048 Bytes  26.07.2010 18:25:50
VBASE019.VDF  : 7.10.9.204      2048 Bytes  26.07.2010 18:25:50
VBASE020.VDF  : 7.10.9.205      2048 Bytes  26.07.2010 18:25:50
VBASE021.VDF  : 7.10.9.206      2048 Bytes  26.07.2010 18:25:50
VBASE022.VDF  : 7.10.9.207      2048 Bytes  26.07.2010 18:25:50
VBASE023.VDF  : 7.10.9.208      2048 Bytes  26.07.2010 18:25:50
VBASE024.VDF  : 7.10.9.209      2048 Bytes  26.07.2010 18:25:50
VBASE025.VDF  : 7.10.9.210      2048 Bytes  26.07.2010 18:25:50
VBASE026.VDF  : 7.10.9.211      2048 Bytes  26.07.2010 18:25:50
VBASE027.VDF  : 7.10.9.212      2048 Bytes  26.07.2010 18:25:50
VBASE028.VDF  : 7.10.9.213      2048 Bytes  26.07.2010 18:25:50
VBASE029.VDF  : 7.10.9.214      2048 Bytes  26.07.2010 18:25:50
VBASE030.VDF  : 7.10.9.215      2048 Bytes  26.07.2010 18:25:50
VBASE031.VDF  : 7.10.9.219    38400 Bytes  26.07.2010 18:25:51
Engineversion  : 8.2.4.26 
AEVDF.DLL      : 8.1.2.0      106868 Bytes  23.04.2010 17:16:49
AESCRIPT.DLL  : 8.1.3.41    1364346 Bytes  20.07.2010 18:09:36
AESCN.DLL      : 8.1.6.1      127347 Bytes  12.05.2010 18:33:00
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 17:16:49
AERDL.DLL      : 8.1.8.2      614772 Bytes  20.07.2010 18:09:28
AEPACK.DLL    : 8.2.3.2      471414 Bytes  20.07.2010 18:09:21
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  21.07.2010 18:52:01
AEHEUR.DLL    : 8.1.2.6      2793846 Bytes  20.07.2010 18:09:11
AEHELP.DLL    : 8.1.13.2      242039 Bytes  20.07.2010 18:08:49
AEGEN.DLL      : 8.1.3.17      385396 Bytes  21.07.2010 18:52:00
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 17:16:48
AECORE.DLL    : 8.1.16.2      192887 Bytes  20.07.2010 18:08:40
AEBB.DLL      : 8.1.1.0        53618 Bytes  23.04.2010 17:16:47
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0      53096 Bytes  21.04.2010 18:12:47
AVSCPLR.DLL    : 10.0.3.0      83816 Bytes  21.04.2010 18:12:47
AVARKT.DLL    : 10.0.0.14    227176 Bytes  21.04.2010 18:12:46
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.53.0      98152 Bytes  21.04.2010 18:12:46

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 26. Juli 2010  20:30

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlangui.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '438' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '465b4d28.qua' verschoben!


Ende des Suchlaufs: Montag, 26. Juli 2010  22:00
Benötigte Zeit:  1:29:27 Stunde(n)

Der Suchlauf wurde abgebrochen!

  8012 Verzeichnisse wurden überprüft
 442977 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 442972 Dateien ohne Befall
  4114 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 249374 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
Die infizierte Datei wurde in in Quarantäne verschoben und ich hab sie dann aus der rausgelöscht.Muss ich mir um die versteckte Datei beim Rootkitscan Sorgen machen?

Log Mbam:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.07.2010 22:49:27
mbam-log-2010-07-26 (22-49-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 214717
Laufzeit: 40 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 26.07.2010 23:16
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ReBlubb 27.07.2010 18:49
Code:
ComboFix 10-07-26.04 - xxx 27.07.2010  19:32:34.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.703 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((  Dateien erstellt von 2010-06-27 bis 2010-07-27  ))))))))))))))))))))))))))))))
.

2010-07-27 17:28 . 2010-07-27 17:28        15736        ----a-w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-26 19:50 . 2010-07-26 19:50        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2010-07-22 22:40 . 2010-07-22 22:40        --------        d-----w-        C:\_OTL
2010-07-22 22:24 . 2010-07-22 22:24        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Avira
2010-07-22 21:33 . 2010-07-22 21:33        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-22 21:30 . 2010-07-22 21:30        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-07-11 03:19 . 2010-07-11 03:19        --------        d-----w-        c:\dokumente und einstellungen\Gast\Anwendungsdaten\Avira
2010-07-11 03:08 . 2008-04-14 12:00        2560        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\USMT\iconlib.dll
2010-07-11 02:50 . 2010-07-11 02:50        --------        d-sh--w-        c:\dokumente und einstellungen\Gast\IETldCache
2010-06-30 20:14 . 2010-06-30 20:14        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Foxit Software

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-27 17:20 . 2009-05-16 04:22        --------        d-----w-        c:\programme\CCleaner
2010-07-26 21:49 . 2009-11-11 21:54        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\vlc
2010-07-21 19:18 . 2009-06-05 07:26        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-07-20 18:12 . 2010-04-15 19:47        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Cydiq
2010-07-19 22:17 . 2009-05-13 01:06        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\ICQ
2010-07-19 11:54 . 2009-05-13 01:52        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\OpenOffice.org2
2010-07-18 13:17 . 2009-05-13 01:53        1        ----a-w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-07-13 21:03 . 2010-02-05 17:25        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\CameraWindowDC
2010-07-13 21:03 . 2010-02-05 17:10        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\ZoomBrowser EX
2010-06-20 19:52 . 2008-04-14 12:00        547054        ----a-w-        c:\winxp\system32\perfh007.dat
2010-06-20 19:52 . 2008-04-14 12:00        114304        ----a-w-        c:\winxp\system32\perfc007.dat
2010-06-19 10:54 . 2009-05-13 00:18        --------        d-----w-        c:\programme\eMule
2010-06-18 15:54 . 2009-06-05 07:26        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Thunderbird
2010-06-16 18:36 . 2010-06-16 18:35        --------        d-----w-        c:\programme\ICQ7.2
2010-06-16 18:35 . 2009-05-12 16:23        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-07 21:33 . 2009-05-13 16:47        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\dvdcss
2010-04-29 13:39 . 2009-10-14 19:27        38224        ----a-w-        c:\winxp\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-10-14 19:27        20952        ----a-w-        c:\winxp\system32\drivers\mbam.sys
.

------- Sigcheck -------

[-] 2008-05-09 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll

[-] 2008-05-09 22:32 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\winxp\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2009-05-07 1904640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\winxp\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-01-02 14:41        45056        ----a-w-        c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
2002-11-25 10:10        1622016        ----a-w-        c:\winxp\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-15 11:47        149280        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\WINXP\\system32\\mmc.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Service\\Quake III Arena.129g.V01\\Quake III Arena.129g.V01\\QUAKE3.EXE"=
"c:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:eMule-TCP
"4672:UDP"= 4672:UDP:eMule-UDP

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.03.2010 14:28 135336]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [07.05.2009 02:01 265088]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [07.05.2009 02:01 4352]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: {{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\programme\ICQ7.2\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-27 19:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(480)
c:\winxp\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3100)
c:\winxp\system32\ieframe.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-07-27  19:40:08
ComboFix-quarantined-files.txt  2010-07-27 17:40

Vor Suchlauf: 4.588.584.960 Bytes frei
Nach Suchlauf: 4.579.946.496 Bytes frei

- - End Of File - - 67DBAB332267952E3C717CE37BB4B98D
Ähm...und nur mal so nebenher:Ich bemerke in den letzten Tagen, dass jedesmal wenn ich ein Apostroph setze- mit der Taste neben dem ß bzw ?- 2 Stück davon kommen.
Ohne darauf rumzureiten ob das jetzt Accents oder Apostrophe sind, früher ging es und es kam immer nur eins raus, jetzt immer doppelt.Ich hab schon gelesen das wäre die Auswirkung von dem einen oder anderen Virus/Trojaner, ist euch da was bekannt?

cosinus 29.07.2010 13:24
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
=> das "xxx2" musst Du wieder in Deinen richtigen Benutzernamen umschreiben

Code:
Folder::
c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Cydiq
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ReBlubb 29.07.2010 18:37
Code:
ComboFix 10-07-28.04 - xxx 29.07.2010  19:20:07.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.728 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Cydiq

.
(((((((((((((((((((((((  Dateien erstellt von 2010-06-28 bis 2010-07-29  ))))))))))))))))))))))))))))))
.

2010-07-27 17:30 . 2010-07-27 17:40        --------        d-----w-        C:\CoFi
2010-07-27 17:28 . 2010-07-27 17:28        15736        ----a-w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-26 19:50 . 2010-07-26 19:50        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2010-07-22 22:40 . 2010-07-22 22:40        --------        d-----w-        C:\_OTL
2010-07-22 22:24 . 2010-07-22 22:24        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Avira
2010-07-22 21:33 . 2010-07-22 21:33        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-22 21:30 . 2010-07-22 21:30        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-07-11 03:19 . 2010-07-11 03:19        --------        d-----w-        c:\dokumente und einstellungen\Gast\Anwendungsdaten\Avira
2010-07-11 03:08 . 2008-04-14 12:00        2560        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\USMT\iconlib.dll
2010-07-11 02:50 . 2010-07-11 02:50        --------        d-sh--w-        c:\dokumente und einstellungen\Gast\IETldCache
2010-06-30 20:14 . 2010-06-30 20:14        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Foxit Software

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 17:02 . 2009-06-05 07:26        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-07-28 20:00 . 2009-11-11 21:54        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\vlc
2010-07-27 19:49 . 2009-05-13 01:06        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\ICQ
2010-07-27 17:20 . 2009-05-16 04:22        --------        d-----w-        c:\programme\CCleaner
2010-07-19 11:54 . 2009-05-13 01:52        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\OpenOffice.org2
2010-07-18 13:17 . 2009-05-13 01:53        1        ----a-w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-07-13 21:03 . 2010-02-05 17:25        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\CameraWindowDC
2010-07-13 21:03 . 2010-02-05 17:10        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\ZoomBrowser EX
2010-06-20 19:52 . 2008-04-14 12:00        547054        ----a-w-        c:\winxp\system32\perfh007.dat
2010-06-20 19:52 . 2008-04-14 12:00        114304        ----a-w-        c:\winxp\system32\perfc007.dat
2010-06-19 10:54 . 2009-05-13 00:18        --------        d-----w-        c:\programme\eMule
2010-06-18 15:54 . 2009-06-05 07:26        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Thunderbird
2010-06-16 18:36 . 2010-06-16 18:35        --------        d-----w-        c:\programme\ICQ7.2
2010-06-16 18:35 . 2009-05-12 16:23        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-07 21:33 . 2009-05-13 16:47        --------        d-----w-        c:\dokumente und einstellungen\xxx2\Anwendungsdaten\dvdcss
.

------- Sigcheck -------

[-] 2008-05-09 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll

[-] 2008-05-09 22:32 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\winxp\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((  SnapShot@2010-07-27_17.37.57  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-29 16:58 . 2010-07-29 16:58        16384              c:\winxp\Temp\Perflib_Perfdata_60c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2009-05-07 1904640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\winxp\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-01-02 14:41        45056        ----a-w-        c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
2002-11-25 10:10        1622016        ----a-w-        c:\winxp\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-15 11:47        149280        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\WINXP\\system32\\mmc.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Service\\Quake III Arena.129g.V01\\Quake III Arena.129g.V01\\QUAKE3.EXE"=
"c:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:eMule-TCP
"4672:UDP"= 4672:UDP:eMule-UDP

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.03.2010 14:28 135336]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [07.05.2009 02:01 265088]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [07.05.2009 02:01 4352]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-29 19:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\winxp\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3616)
c:\winxp\system32\ieframe.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-07-29  19:27:46
ComboFix-quarantined-files.txt  2010-07-29 17:27
ComboFix2.txt  2010-07-27 17:40

Vor Suchlauf: 5.154.111.488 Bytes frei
Nach Suchlauf: 8.799.285.248 Bytes frei

- - End Of File - - C3D9B03DC0246C289BE75B38C4FC0D3C

cosinus 29.07.2010 19:28
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

ReBlubb 29.07.2010 21:16
Gmer:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-29 22:12:00
Windows 5.1.2600 Service Pack 3
Running: xvqwq4eg.exe; Driver: C:\DOKUME~1\ADMINK~1\LOKALE~1\Temp\pxtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            F7F0AB0E                                                                                        ZwCreateKey
SSDT            F7F0AB04                                                                                        ZwCreateThread
SSDT            F7F0AB13                                                                                        ZwDeleteKey
SSDT            F7F0AB1D                                                                                        ZwDeleteValueKey
SSDT            F7F0AB22                                                                                        ZwLoadKey
SSDT            F7F0AAF0                                                                                        ZwOpenProcess
SSDT            F7F0AAF5                                                                                        ZwOpenThread
SSDT            F7F0AB2C                                                                                        ZwReplaceKey
SSDT            F7F0AB27                                                                                        ZwRestoreKey
SSDT            F7F0AB18                                                                                        ZwSetValueKey

Code            \??\C:\DOKUME~1\ADMINK~1\LOKALE~1\Temp\catchme.sys                                              pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?              C:\WINXP\system32\Drivers\PROCEXP113.SYS                                                        Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\ADMINK~1\LOKALE~1\Temp\catchme.sys                                                  Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\ADMINK~1\LOKALE~1\Temp\mbr.sys                                                      Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\explorer.exe [KERNEL32.dll!GetProcAddress]                [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\explorer.exe[3616] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                        fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd502a95                     
Reg            HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd502a95 (not active ControlSet) 

---- EOF - GMER 1.0.15 ----
Osam:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
http://www.online-solutions.ru/en/
Saved at 22:23:42 on 29.07.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINXP\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINXP\system32\javacpl.cpl
"LocalCOM.cpl" - "TOSHIBA CORPORATION" - C:\WINXP\system32\LocalCOM.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avipbb.sys
"AVM Eject" (avmeject) - "AVM Berlin" - C:\WINXP\System32\drivers\avmeject.sys
"catchme" (catchme) - ? - C:\DOKUME~1\xxx~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINXP\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINXP\system32\drivers\i2omgmt.sys  (File not found)
"IR-Enumeratordienst" (IRENUM) - ? - C:\WINXP\System32\DRIVERS\irenum.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINXP\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\DOKUME~1\xxx~1\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCIDump" (PCIDump) - ? - C:\WINXP\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINXP\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINXP\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINXP\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINXP\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINXP\System32\Drivers\PxHelp20.sys
"pxtdapow" (pxtdapow) - ? - C:\DOKUME~1\xxx~1\LOKALE~1\Temp\pxtdapow.sys  (Hidden registry entry, rootkit activity | File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINXP\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINXP\system32\drivers\WDICA.sys  (File not found)
"Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINXP\System32\DRIVERS\WudfPf.sys
"Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINXP\System32\DRIVERS\wudfrd.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINXP\system32\Rundll32.exe c:\WINXP\system32\mscories.dll,Install
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Windows Media Player" - "Microsoft Corporation" - C:\WINXP\inf\unregmp2.exe /ShowWMP
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINXP\system32\wpdshext.dll
{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINXP\system32\wpdshext.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINXP\system32\audiodev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINXP\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINXP\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINXP\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINXP\System32\XPSSHHDR.DLL
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINXP\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINXP\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINXP\system32\wmpshell.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )-----
{AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINXP\system32\wpdshserviceobj.dll

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} "a-squared Scanner" - "Emsi Software GmbH" - C:\WINXP\DOWNLO~1\asquared.ocx / http://ax.emsisoft.com/asquared.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINXP\system32\Macromed\Flash\Flash10c.ocx / http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} "{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}" - ? -  (File not found | COM-object registry key not found) / http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AVMWlanClient" - "AVM Berlin" - C:\Programme\avmwlanstick\wlangui.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Toshiba Bluetooth Monitor" - "TOSHIBA CORPORATION." - C:\WINXP\system32\tbtmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - c:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINXP\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM WLAN Connection Service" (AVM WLAN Connection Service) - "AVM Berlin" - C:\Programme\avmwlanstick\WlanNetService.exe
"Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe
"HID Input Service" (HidServ) - ? -  C:\WINXP\System32\hidserv.dll  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINXP\system32\mspmsnsv.dll
"TOSHIBA Bluetooth Service" (TOSHIBA Bluetooth Service) - "TOSHIBA CORPORATION" - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
"VNC Server Version 4" (WinVNC4) - "RealVNC Ltd." - C:\Programme\RealVNC\VNC4\WinVNC4.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINXP\System32\WUDFSvc.dll
"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit http://forum.online-solutions.ru
Der Ablauf bei Osam ist etwas anders als beschrieben, aber zumindest ist´n Log rausgekommen :-)


Bootkit remover
Code:
.\debug.cpp(238) : Debug log started at 29.07.2010 - 20:30:56
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00217000 "\WINXP\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x806ee000 0x00020300 "\WINXP\system32\hal.dll"
.\debug.cpp(256) : 0xf7d2f000 0x00002000 "\WINXP\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf7c3f000 0x00003000 "\WINXP\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf77df000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf7d31000 0x00002000 "\WINXP\system32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xf77ce000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf782f000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf7d33000 0x00002000 "intelide.sys"
.\debug.cpp(256) : 0xf7aaf000 0x00007000 "\WINXP\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf783f000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf77af000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf7d35000 0x00002000 "dmload.sys"
.\debug.cpp(256) : 0xf7789000 0x00026000 "dmio.sys"
.\debug.cpp(256) : 0xf7ab7000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf784f000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf7771000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf785f000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf786f000 0x0000d000 "\WINXP\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf7751000 0x00020000 "fltMgr.sys"
.\debug.cpp(256) : 0xf773f000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf787f000 0x0000a000 "PxHelp20.sys"
.\debug.cpp(256) : 0xf7728000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf769b000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xf766e000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xf7654000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf788f000 0x0000b000 "agp440.sys"
.\debug.cpp(256) : 0xf7485000 0x00187000 "\SystemRoot\system32\DRIVERS\ati2mtag.sys"
.\debug.cpp(256) : 0xf7471000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf7b1f000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xf744d000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf7b27000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf73f0000 0x0005d000 "\SystemRoot\system32\drivers\cmaudio.sys"
.\debug.cpp(256) : 0xf73cc000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xf79ef000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xf73a9000 0x00023000 "\SystemRoot\system32\drivers\ks.sys"
.\debug.cpp(256) : 0xf79ff000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xf7a0f000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xf7a1f000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xf7b2f000 0x00007000 "\SystemRoot\system32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xf7a2f000 0x00010000 "\SystemRoot\system32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xf7ce3000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xf7395000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xf7ce7000 0x00003000 "\SystemRoot\system32\DRIVERS\gameenum.sys"
.\debug.cpp(256) : 0xf7f1b000 0x00001000 "\SystemRoot\system32\drivers\msmpu401.sys"
.\debug.cpp(256) : 0xf7a3f000 0x00010000 "\SystemRoot\System32\Drivers\tosrfcom.sys"
.\debug.cpp(256) : 0xf7f1c000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf7a4f000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf7ceb000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf737e000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf7a5f000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf7a6f000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf7b37000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf736d000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf7a7f000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf7b47000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf7b4f000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf6072000 0x00030000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"
.\debug.cpp(256) : 0xf78ef000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf7b57000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf7b5f000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf7d4d000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf5fec000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf7d07000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf792f000 0x0000b000 "\SystemRoot\system32\DRIVERS\tosporte.sys"
.\debug.cpp(256) : 0xf793f000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf794f000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xf7d4f000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf7b67000 0x00005000 "\SystemRoot\system32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xf7d51000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xf7e42000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf7d53000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xf7b77000 0x00007000 "\SystemRoot\system32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xf7b7f000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf7d55000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf7d57000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xf7b87000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xf7b8f000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xf7618000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xbaf05000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xbaeac000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xbae84000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xbae62000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xf797f000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xf7b97000 0x00006000 "\SystemRoot\System32\Drivers\StarOpen.SYS"
.\debug.cpp(256) : 0xf7b9f000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xbae37000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xbadc7000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xf798f000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xbada1000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xf799f000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xf7ba7000 0x00007000 "\SystemRoot\system32\DRIVERS\USBSTOR.SYS"
.\debug.cpp(256) : 0xbad57000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xf7d5b000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xf7bb7000 0x00008000 "\SystemRoot\system32\DRIVERS\usbccgp.sys"
.\debug.cpp(256) : 0xf7ccf000 0x00003000 "\SystemRoot\system32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xf79bf000 0x00009000 "\SystemRoot\system32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xf7cdb000 0x00004000 "\SystemRoot\system32\DRIVERS\kbdhid.sys"
.\debug.cpp(256) : 0xf605e000 0x00003000 "\SystemRoot\system32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xbad33000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS"
.\debug.cpp(256) : 0xbacda000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xf7dbd000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c3000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf6066000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xf7aef000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf9c3000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xf7ed5000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf9d5000 0x00043000 "\SystemRoot\System32\ati2dvag.dll"
.\debug.cpp(256) : 0xbfa18000 0x00045000 "\SystemRoot\System32\ati2cqag.dll"
.\debug.cpp(256) : 0xbfa5d000 0x00036000 "\SystemRoot\System32\atikvmag.dll"
.\debug.cpp(256) : 0xbfa93000 0x00292000 "\SystemRoot\System32\ati3duag.dll"
.\debug.cpp(256) : 0xbfd25000 0x00158000 "\SystemRoot\System32\ativvaxx.dll"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xb8b85000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xb88d8000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xf7d4b000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xb8746000 0x00052000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xb8461000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xb84ee000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xb80c3000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xb7f92000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0xf7d81000 0x00002000 "\??\C:\WINXP\system32\Drivers\PROCEXP113.SYS"
.\debug.cpp(256) : 0xf7c27000 0x00008000 "\??\C:\DOKUME~1\xxx~1\LOKALE~1\Temp\catchme.sys"
.\debug.cpp(256) : 0xf7c0f000 0x00006000 "\??\C:\DOKUME~1\xxxK~1\LOKALE~1\Temp\mbr.sys"
.\debug.cpp(256) : 0xb7de5000 0x00017000 "\??\C:\DOKUME~1\xxx~1\LOKALE~1\Temp\pxtdapow.sys"
.\debug.cpp(256) : 0xb7d79000 0x00041000 "\SystemRoot\system32\DRIVERS\fwlanusb.sys"
.\debug.cpp(256) : 0xb7cae000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys"
.\debug.cpp(256) : 0x7c910000 0x000b6000 "\WINXP\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) :              Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM12"
.\debug.cpp(400) :              Destination="\Device\porte12"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_5961&SUBSYS_2063148C&REV_01#4&33b01bd3&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0013"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) :              Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_1058&Pid_1001#574341535930303531323938#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#20#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000065"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#13#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000063"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM13"
.\debug.cpp(400) :              Destination="\Device\porte13"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) :              Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmIoDaemon"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) :              Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\pxtdapow"
.\debug.cpp(400) :              Destination="\Device\pxtdapow"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) :              Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM20"
.\debug.cpp(400) :              Destination="\Device\porte20"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM14"
.\debug.cpp(400) :              Destination="\Device\porte14"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E5FDECC1-7D06-4EA8-B290-5F3A901FA1D0}"
.\debug.cpp(400) :              Destination="\Device\{E5FDECC1-7D06-4EA8-B290-5F3A901FA1D0}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) :              Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) :              Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) :              Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM21"
.\debug.cpp(400) :              Destination="\Device\porte21"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000029"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col01#7&39a064ec&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000075"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) :              Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5"
.\debug.cpp(400) :              Destination="\Device\Video4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM22"
.\debug.cpp(400) :              Destination="\Device\porte22"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) :              Destination="\Device\ParallelVdm0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB02F#3&13c0b0c5&0#{cae56030-684a-11d0-d6f6-00a0c90f57da}"
.\debug.cpp(400) :              Destination="\Device\0000004c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2444&SUBSYS_53101462&REV_05#3&13c0b0c5&0&FC#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0007"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#5&3552ef8f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"
.\debug.cpp(400) :              Destination="\Device\RdpDrDvMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#4&33bc18fa&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\FloppyPDO0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#4&2323ffb6&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&aeb6a9a&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#21#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000066"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#14#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000064"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TosRFCOM"
.\debug.cpp(400) :              Destination="\Device\RFCOMM"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) :              Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) :              Destination="\Device\Serial0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#11#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000061"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM2"
.\debug.cpp(400) :              Destination="\Device\Serial1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#22#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000067"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) :              Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_062a&Pid_0107#5&1af498aa&0&2#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\G:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) :              Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) :              Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) :              Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0400#3&13c0b0c5&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) :              Destination="\Device\0000004b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#BLUETOOTH#0000#{aa83bdcf-92fa-41ac-96d3-5e92b59c9b9d}"
.\debug.cpp(400) :              Destination="\Device\00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) :              Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMITSUMI_CD-ROM_FX320S_!B________________q01_____#5&227fd5e1&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) :              Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) :              Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) :              Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM6"
.\debug.cpp(400) :              Destination="\Device\porte6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) :              Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col01#7&39a064ec&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000075"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) :              Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) :              Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM7"
.\debug.cpp(400) :              Destination="\Device\porte7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac42-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_057c&Pid_6201#001A4F9FC253#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) :              Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive1"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DR2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) :              Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) :              Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col02#7&39a064ec&0&0001#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) :              Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3104&SUBSYS_31041106&REV_63#4&3ab31f7f&0&0AF0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) :              Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac43-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#6#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD400BB-00JKA0______________________05.01C05#4457572d4143454d333134323632203020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T0L0-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#10#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col03#7&39a064ec&0&0002#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000077"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_00#7&2b52c944&0&0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000074"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\StarOpen"
.\debug.cpp(400) :              Destination="\Device\StarOpen"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{95A2E55D-1469-4F59-B95E-8966C5D26807}"
.\debug.cpp(400) :              Destination="\Device\{95A2E55D-1469-4F59-B95E-8966C5D26807}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{7C4D2928-62AC-4DF9-BC5A-E4081B438125}"
.\debug.cpp(400) :              Destination="\Device\{7C4D2928-62AC-4DF9-BC5A-E4081B438125}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\catchme"
.\debug.cpp(400) :              Destination="\Device\catchme"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d368bd95-3f1a-11de-8831-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) :              Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac44-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{3DBDA97B-295F-4265-8A22-8DAF4D9D9B27}"
.\debug.cpp(400) :              Destination="\Device\{3DBDA97B-295F-4265-8A22-8DAF4D9D9B27}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{8FDEF39A-230F-478B-9980-63F005068C0C}"
.\debug.cpp(400) :              Destination="\Device\{8FDEF39A-230F-478B-9980-63F005068C0C}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) :              Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_5941&SUBSYS_2062148C&REV_01#4&33b01bd3&0&0108#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0014"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000028"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmConfig"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&1765a66b&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) :              Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TIWLNUSB"
.\debug.cpp(400) :              Destination="\Device\TIWLNUSB"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature6E406E4Offset7E00Length950A58200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_WD&Prod_5000AAK_External&Rev_1.05#574341535930303531323938&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\0000006e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#4&3ab31f7f&0&09F0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0009"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmTrace"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_00#7&2b52c944&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000074"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#5&2b42e9da&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) :              Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) :              Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D399BC0Offset7E00Length74701A8200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{742A5901-15F9-4480-B458-93EDF3691E90}"
.\debug.cpp(400) :              Destination="\Device\{742A5901-15F9-4480-B458-93EDF3691E90}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) :              Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) :              Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) :              Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) :              Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) :              Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) :              Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"
.\debug.cpp(400) :              Destination="\Device\DmLoader"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) :              Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2442&SUBSYS_53101462&REV_05#3&13c0b0c5&0&FA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#12#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000062"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) :              Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{59EB8AE8-2FD5-4192-98D2-5D23B1FFC6B9}"
.\debug.cpp(400) :              Destination="\Device\{59EB8AE8-2FD5-4192-98D2-5D23B1FFC6B9}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#4&3ab31f7f&0&08F0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0008"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) :              Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\mbr"
.\debug.cpp(400) :              Destination="\Device\mbr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) :              Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) :              Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_057c&Pid_6201#001A4F9FC253#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) :              Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) :              Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMITSUMI_CD-ROM_FX320S_!B________________q01_____#5&227fd5e1&0&0.1.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#5&1cb9c7e5&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM10"
.\debug.cpp(400) :              Destination="\Device\porte10"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#7#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{147e5178-3f43-11de-ad68-00902722f5ca}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PROCEXP113"
.\debug.cpp(400) :              Destination="\Device\PROCEXP113"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) :              Destination="\Device\avipbb"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM11"
.\debug.cpp(400) :              Destination="\Device\porte11"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmInfo"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) :      Size  Device Name          MBR Status
.\boot_cleaner.cpp(1153) :  --------------------------------------------
.\boot_cleaner.cpp(1197) :    37 GB  \\.\PhysicalDrive0  Unknown boot code
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks.
.\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector:
.\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file]
.\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command:
.\boot_cleaner.cpp(1217) : remover.exe fix <device_name>
.\boot_cleaner.cpp(1220) :
.\boot_cleaner.cpp(1242) : Done;
Nach anklicken der Exe hat sich ziemlich sofort ein schwarzes Fenster aufgetan, in dem die letzten 5 Zeilen dieses Logs zulesen waren...und´s ist nicht mehr viel passiert...auf Tastendruck ist das Log hier rausgekommen, in dem steht jede Mege drin, ist der so schnell oder ist eig gar nix passiert?

Meine Hochachtung vor jedem der die Konzentration aufbringt sich das genau durchzulesen...mir brummt schon der Schädel wenn ich´s nur nach meinen Benutzerkonten überfliege.

Nebenher:Was mache ich hier eigentlich grad so alles? ;-)

ReBlubb 31.07.2010 20:36
*inErinnerungbring*

cosinus 31.07.2010 20:51
Sry, hab Deinen Strang übersehen. Asche auf mein Haupt! :D

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0

ReBlubb 02.08.2010 18:29
Zitat:
Zitat von cosinus (Beitrag 548713)
Sry, hab Deinen Strang übersehen. Asche auf mein Haupt! :D

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0

Klar...Dreck auf´m Kopf erteilt :-D

Ähm--> c:\WINXP\system32?
Mag dir doof erscheinen dass ich extra nachfrag, aber wenn ich schon mit hartem Gerät im System rumfrosch, dann will ich hundertprozentig wissen dass ich richtig lieg...

cosinus 05.08.2010 09:42
Wenn Dein Windows-Ordner "WINXP" heißt, dann muss es natürlich da rein :rolleyes:
Du kannst die remover.exe auch direkt nach C: kopieren, dann muss aber jedesmal in der Kommandozeile die remover.exe über "c:\remover.exe" aufgerufen werden. Wenn man einfach nur "remover.exe fix \\.\PhysicalDrive0" eintippen will, muss die remover.exe nach system32

ReBlubb 05.08.2010 17:59
ok...ausgeführt... brauchst du das was der mir hinschreibt oder geht´s direkt weiter?

Code:
Restoring boot code at \\.\PhysicalDrive0...
OK

Done
Press any key to quit

cosinus 05.08.2010 18:17
Bitte zur Kontrolle die remover.exe per Doppelklick wieder ausführen und die Ausgabe posten.

ReBlubb 05.08.2010 18:30
Logfile Bootkit:
Code:
.\debug.cpp(238) : Debug log started at 05.08.2010 - 17:24:39
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00217000 "\WINXP\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x806ee000 0x00020300 "\WINXP\system32\hal.dll"
.\debug.cpp(256) : 0xf7d2f000 0x00002000 "\WINXP\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf7c3f000 0x00003000 "\WINXP\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf77df000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf7d31000 0x00002000 "\WINXP\system32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xf77ce000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf782f000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf7d33000 0x00002000 "intelide.sys"
.\debug.cpp(256) : 0xf7aaf000 0x00007000 "\WINXP\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf783f000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf77af000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf7d35000 0x00002000 "dmload.sys"
.\debug.cpp(256) : 0xf7789000 0x00026000 "dmio.sys"
.\debug.cpp(256) : 0xf7ab7000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf784f000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf7771000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf785f000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf786f000 0x0000d000 "\WINXP\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf7751000 0x00020000 "fltMgr.sys"
.\debug.cpp(256) : 0xf773f000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf787f000 0x0000a000 "PxHelp20.sys"
.\debug.cpp(256) : 0xf7728000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf769b000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xf766e000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xf7654000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf788f000 0x0000b000 "agp440.sys"
.\debug.cpp(256) : 0xf7485000 0x00187000 "\SystemRoot\system32\DRIVERS\ati2mtag.sys"
.\debug.cpp(256) : 0xf7471000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf7b07000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xf744d000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf7b0f000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf73f0000 0x0005d000 "\SystemRoot\system32\drivers\cmaudio.sys"
.\debug.cpp(256) : 0xf73cc000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xf79bf000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xf73a9000 0x00023000 "\SystemRoot\system32\drivers\ks.sys"
.\debug.cpp(256) : 0xf79cf000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xf79df000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xf79ef000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xf7b17000 0x00007000 "\SystemRoot\system32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xf79ff000 0x00010000 "\SystemRoot\system32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xf7cf3000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xf7395000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xf7cf7000 0x00003000 "\SystemRoot\system32\DRIVERS\gameenum.sys"
.\debug.cpp(256) : 0xf7f29000 0x00001000 "\SystemRoot\system32\drivers\msmpu401.sys"
.\debug.cpp(256) : 0xf7a0f000 0x00010000 "\SystemRoot\System32\Drivers\tosrfcom.sys"
.\debug.cpp(256) : 0xf7f2b000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf7a1f000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf7cfb000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf737e000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf7a2f000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf7a3f000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf7b1f000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf736d000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf7a4f000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf7b27000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf7b2f000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf7182000 0x00030000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"
.\debug.cpp(256) : 0xf78bf000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf7b37000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf7b3f000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf7d51000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf70fc000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf7d17000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf78ff000 0x0000b000 "\SystemRoot\system32\DRIVERS\tosporte.sys"
.\debug.cpp(256) : 0xf790f000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf791f000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xf7d53000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf7b57000 0x00005000 "\SystemRoot\system32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xf7d55000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xf7f34000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf7d57000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xf7b67000 0x00007000 "\SystemRoot\system32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xf7b6f000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf7d59000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf7d5b000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xf7b77000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xf7b7f000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xf7cbb000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xbafa5000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xbaf4c000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xbaf24000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xbaf02000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xf794f000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xf7b87000 0x00006000 "\SystemRoot\System32\Drivers\StarOpen.SYS"
.\debug.cpp(256) : 0xf7b8f000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xbaed7000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xbae67000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xf795f000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xbada1000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xf796f000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xf7b97000 0x00007000 "\SystemRoot\system32\DRIVERS\USBSTOR.SYS"
.\debug.cpp(256) : 0xbad57000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xf7d5f000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xf7b9f000 0x00008000 "\SystemRoot\system32\DRIVERS\usbccgp.sys"
.\debug.cpp(256) : 0xf7ce3000 0x00003000 "\SystemRoot\system32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xf798f000 0x00009000 "\SystemRoot\system32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xf717e000 0x00004000 "\SystemRoot\system32\DRIVERS\kbdhid.sys"
.\debug.cpp(256) : 0xf716e000 0x00003000 "\SystemRoot\system32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xbad33000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS"
.\debug.cpp(256) : 0xbacf2000 0x00041000 "\SystemRoot\system32\DRIVERS\fwlanusb.sys"
.\debug.cpp(256) : 0xbacda000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xf7dd9000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c3000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf717a000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xf7c2f000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf9c3000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xf7e61000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf9d5000 0x00043000 "\SystemRoot\System32\ati2dvag.dll"
.\debug.cpp(256) : 0xbfa18000 0x00045000 "\SystemRoot\System32\ati2cqag.dll"
.\debug.cpp(256) : 0xbfa5d000 0x00036000 "\SystemRoot\System32\atikvmag.dll"
.\debug.cpp(256) : 0xbfa93000 0x00292000 "\SystemRoot\System32\ati3duag.dll"
.\debug.cpp(256) : 0xbfd25000 0x00158000 "\SystemRoot\System32\ativvaxx.dll"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xb8b85000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xb88d8000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xf7d3b000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xb8746000 0x00052000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xb8461000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xb84ae000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xb86b6000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xb7fae000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0xb7e6b000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys"
.\debug.cpp(256) : 0x7c910000 0x000b6000 "\WINXP\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) :              Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_5961&SUBSYS_2063148C&REV_01#4&33b01bd3&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0013"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM12"
.\debug.cpp(400) :              Destination="\Device\porte12"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) :              Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmIoDaemon"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) :              Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM13"
.\debug.cpp(400) :              Destination="\Device\porte13"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#13#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000063"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#20#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000065"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_1058&Pid_1001#574341535930303531323938#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM14"
.\debug.cpp(400) :              Destination="\Device\porte14"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM20"
.\debug.cpp(400) :              Destination="\Device\porte20"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) :              Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) :              Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000029"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM21"
.\debug.cpp(400) :              Destination="\Device\porte21"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) :              Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) :              Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) :              Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E5FDECC1-7D06-4EA8-B290-5F3A901FA1D0}"
.\debug.cpp(400) :              Destination="\Device\{E5FDECC1-7D06-4EA8-B290-5F3A901FA1D0}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM22"
.\debug.cpp(400) :              Destination="\Device\porte22"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5"
.\debug.cpp(400) :              Destination="\Device\Video4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) :              Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col01#7&39a064ec&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000075"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"
.\debug.cpp(400) :              Destination="\Device\RdpDrDvMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#5&3552ef8f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2444&SUBSYS_53101462&REV_05#3&13c0b0c5&0&FC#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0007"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB02F#3&13c0b0c5&0#{cae56030-684a-11d0-d6f6-00a0c90f57da}"
.\debug.cpp(400) :              Destination="\Device\0000004c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) :              Destination="\Device\ParallelVdm0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TosRFCOM"
.\debug.cpp(400) :              Destination="\Device\RFCOMM"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#14#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000064"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#21#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000066"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&aeb6a9a&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#4&2323ffb6&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#4&33bc18fa&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\FloppyPDO0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#11#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000061"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) :              Destination="\Device\Serial0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) :              Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#22#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000067"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM2"
.\debug.cpp(400) :              Destination="\Device\Serial1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) :              Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_062a&Pid_0107#5&1af498aa&0&2#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#BLUETOOTH#0000#{aa83bdcf-92fa-41ac-96d3-5e92b59c9b9d}"
.\debug.cpp(400) :              Destination="\Device\00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0400#3&13c0b0c5&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) :              Destination="\Device\0000004b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) :              Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) :              Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) :              Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\G:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) :              Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMITSUMI_CD-ROM_FX320S_!B________________q01_____#5&227fd5e1&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) :              Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM6"
.\debug.cpp(400) :              Destination="\Device\porte6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) :              Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) :              Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) :              Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM7"
.\debug.cpp(400) :              Destination="\Device\porte7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) :              Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) :              Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col01#7&39a064ec&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000075"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) :              Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) :              Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive1"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DR2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_057c&Pid_6201#001A4F9FC253#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) :              Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac42-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) :              Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col02#7&39a064ec&0&0001#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) :              Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3104&SUBSYS_31041106&REV_63#4&3ab31f7f&0&0AF0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#6#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac43-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#10#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD400BB-00JKA0______________________05.01C05#4457572d4143454d333134323632203020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T0L0-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\StarOpen"
.\debug.cpp(400) :              Destination="\Device\StarOpen"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_00#7&2b52c944&0&0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000074"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col03#7&39a064ec&0&0002#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000077"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{95A2E55D-1469-4F59-B95E-8966C5D26807}"
.\debug.cpp(400) :              Destination="\Device\{95A2E55D-1469-4F59-B95E-8966C5D26807}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{7C4D2928-62AC-4DF9-BC5A-E4081B438125}"
.\debug.cpp(400) :              Destination="\Device\{7C4D2928-62AC-4DF9-BC5A-E4081B438125}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d368bd95-3f1a-11de-8831-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmConfig"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000028"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_5941&SUBSYS_2062148C&REV_01#4&33b01bd3&0&0108#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0014"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) :              Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{8FDEF39A-230F-478B-9980-63F005068C0C}"
.\debug.cpp(400) :              Destination="\Device\{8FDEF39A-230F-478B-9980-63F005068C0C}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{3DBDA97B-295F-4265-8A22-8DAF4D9D9B27}"
.\debug.cpp(400) :              Destination="\Device\{3DBDA97B-295F-4265-8A22-8DAF4D9D9B27}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac44-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) :              Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&1765a66b&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) :              Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TIWLNUSB"
.\debug.cpp(400) :              Destination="\Device\TIWLNUSB"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmTrace"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#4&3ab31f7f&0&09F0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0009"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_WD&Prod_5000AAK_External&Rev_1.05#574341535930303531323938&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\0000006e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature6E406E4Offset7E00Length950A58200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) :              Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#5&2b42e9da&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_00#7&2b52c944&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\00000074"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) :              Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) :              Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{742A5901-15F9-4480-B458-93EDF3691E90}"
.\debug.cpp(400) :              Destination="\Device\{742A5901-15F9-4480-B458-93EDF3691E90}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D399BC0Offset7E00Length74701A8200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"
.\debug.cpp(400) :              Destination="\Device\DmLoader"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) :              Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) :              Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) :              Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) :              Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) :              Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) :              Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#12#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000062"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2442&SUBSYS_53101462&REV_05#3&13c0b0c5&0&FA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) :              Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) :              Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#4&3ab31f7f&0&08F0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0008"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{59EB8AE8-2FD5-4192-98D2-5D23B1FFC6B9}"
.\debug.cpp(400) :              Destination="\Device\{59EB8AE8-2FD5-4192-98D2-5D23B1FFC6B9}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) :              Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) :              Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) :              Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_057c&Pid_6201#001A4F9FC253#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) :              Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#7#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM10"
.\debug.cpp(400) :              Destination="\Device\porte10"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#5&1cb9c7e5&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMITSUMI_CD-ROM_FX320S_!B________________q01_____#5&227fd5e1&0&0.1.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{147e5178-3f43-11de-ad68-00902722f5ca}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmInfo"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM11"
.\debug.cpp(400) :              Destination="\Device\porte11"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) :              Destination="\Device\avipbb"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) :      Size  Device Name          MBR Status
.\boot_cleaner.cpp(1153) :  --------------------------------------------
.\boot_cleaner.cpp(1197) :    37 GB  \\.\PhysicalDrive0  OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1242) : Done;

cosinus 05.08.2010 18:33
Zitat:
37 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Der MBR/Bootcode ist nun wieder in Ordung!
Mach bitte zur weiteren Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

ReBlubb 05.08.2010 19:00
oh oh...ich befürchte dass der bootcode mittlerweile wieder in Unordnung ist...

Zu meiner Schande:Ich hatte ein paar USB-Sticks nicht mit drin bei der ganzen Froscherei.Ich war so darauf fixiert dass der erste "Kontakt" beim surfen war (zu dem Zeitpunkt war keiner der Sticks drin), dass ich die gar nicht berücksichtigt hab.
Jetzt zum Scan vonMbam sind die mir wieder eingefallen.Also Scan sofort wieder abgebrochen, alle Sticks rein, wieder geestartet.
Nach ca 20 Sek Scanzeit mit Mbam hat mein Avira dazwischengefunkt und gemeldet dass er mir an einem Stick den Zugriff auf die "Autorun" aus Sicherheitsgründen verweigert hat.Mehr nicht.Aber kurz danach vom Avira wieder Meldungen vom TR/Crypt.XPACK.Gen im Temp.
Hab den Avira geöffnet und mir die Berichte angeschaut- und da stehen jeden Tag Meldungen drin, immer genau 3 am Stück, jeden Tag.Ich hab die auf dem Bildschirm nie gesehen.Immer der TR/Crypt.XPACK.Gen in der Datei "'C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\Vozaz\yxew.exe".

Jetzt grad läuft Mbam noch.Bin ja gespannt...fand anfangs ja auch nix...?
Diese Meldungen können ja mit den Sticks nix zu tun haben, die sticks sind jetzt seit Anfang des Threads das erste mal drin.Irgendwas haben wir übersehen.


Und für den Lerneffekt:

Was ist der MBR (?) Bootcode?Welcher Schädling hat da WAS verändert und wozu?

Edit teilt mir gerade die nächste Avira-MEldung mit...Der gehabte Trojaner
wieder in der System volume informatio/restore... :-(
IS ja der einste Liveticker hier...


Edit: Nächste Avira-Meldung...'K:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
--> Suchlauf--> Quarantäne...Frage:Warum die Zeitabstände zwischen Meldungen vom selben Stick?
Ich hab den infizierten Stcik mal raus, dass der mir nicht immer dazwischenfunkt.Mbam läuft weiter.

cosinus 05.08.2010 19:45
Der MBR ist dafür zB zuständig, dass überhaupt ein OS von der Festplatte gestartet werden kann.
Mach, wenn MBAM durch ist, einen Neustart. Führ die remover.exe wieder zur Kontrolle per Doppelklick aus.

ReBlubb 05.08.2010 19:51
Gestartet ist mein Rechner problemlos...was waren dann die Auswirkungen der veränderten MBR? (und, peinlich-was heisst es, und wofür steht gleich OS nochmal?)

Ähm...nebenbei bemerkt...das Lautstärkerad meiner Tastatur hat seit einigen Tagen keinen Effekt mehr...

Ok...Mbam arbeitet erst die Festplatten, dann die ganzen Sticks durch, soweit normal, aber dann schreibt er hin "durchsuche zusätzliche Objekte auf dem System", das hatte ich noch nie, arbeitet schon viel zu lange.Ich brech das mal ab und poste:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4395

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.08.2010 21:21:53
mbam-log-2010-08-05 (21-21-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 131383
Laufzeit: 38 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
--> Neustart--> Bootkit remover:

Code:
.\debug.cpp(238) : Debug log started at 05.08.2010 - 19:30:30
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00217000 "\WINXP\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x806ee000 0x00020300 "\WINXP\system32\hal.dll"
.\debug.cpp(256) : 0xf7d2f000 0x00002000 "\WINXP\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf7c3f000 0x00003000 "\WINXP\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf77df000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf7d31000 0x00002000 "\WINXP\system32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xf77ce000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf782f000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf7d33000 0x00002000 "intelide.sys"
.\debug.cpp(256) : 0xf7aaf000 0x00007000 "\WINXP\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf783f000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf77af000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf7d35000 0x00002000 "dmload.sys"
.\debug.cpp(256) : 0xf7789000 0x00026000 "dmio.sys"
.\debug.cpp(256) : 0xf7ab7000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf784f000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf7771000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf785f000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf786f000 0x0000d000 "\WINXP\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf7751000 0x00020000 "fltMgr.sys"
.\debug.cpp(256) : 0xf773f000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf787f000 0x0000a000 "PxHelp20.sys"
.\debug.cpp(256) : 0xf7728000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf769b000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xf766e000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xf7654000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf788f000 0x0000b000 "agp440.sys"
.\debug.cpp(256) : 0xf7485000 0x00187000 "\SystemRoot\system32\DRIVERS\ati2mtag.sys"
.\debug.cpp(256) : 0xf7471000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf7b07000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xf744d000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf7b0f000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf73f0000 0x0005d000 "\SystemRoot\system32\drivers\cmaudio.sys"
.\debug.cpp(256) : 0xf73cc000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xf79bf000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xf73a9000 0x00023000 "\SystemRoot\system32\drivers\ks.sys"
.\debug.cpp(256) : 0xf79cf000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xf79df000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xf79ef000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xf7b17000 0x00007000 "\SystemRoot\system32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xf79ff000 0x00010000 "\SystemRoot\system32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xf7cf7000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xf7395000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xf7cfb000 0x00003000 "\SystemRoot\system32\DRIVERS\gameenum.sys"
.\debug.cpp(256) : 0xf7f1d000 0x00001000 "\SystemRoot\system32\drivers\msmpu401.sys"
.\debug.cpp(256) : 0xf7a0f000 0x00010000 "\SystemRoot\System32\Drivers\tosrfcom.sys"
.\debug.cpp(256) : 0xf7f1e000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf7a1f000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf7cff000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf737e000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf7a2f000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf7a3f000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf7b1f000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf736d000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf7a4f000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf7b27000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf7b2f000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf7322000 0x00030000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"
.\debug.cpp(256) : 0xf7a5f000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf7b37000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf7b3f000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf7d4d000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf729c000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf7d1b000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf7a9f000 0x0000b000 "\SystemRoot\system32\DRIVERS\tosporte.sys"
.\debug.cpp(256) : 0xf78bf000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf78cf000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xf7d4f000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf7b47000 0x00005000 "\SystemRoot\system32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xf7d51000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xf7e00000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf7d53000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xf7b57000 0x00007000 "\SystemRoot\system32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xf7b5f000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf7d55000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf7d57000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xf7b67000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xf7b6f000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xf7cbb000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xef181000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xef128000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xef100000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xef0de000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xf790f000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xf7b77000 0x00006000 "\SystemRoot\System32\Drivers\StarOpen.SYS"
.\debug.cpp(256) : 0xf7b7f000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xef0b3000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xef043000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xf791f000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xef01d000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xf792f000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xeee33000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xf7d5b000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xf7b9f000 0x00007000 "\SystemRoot\system32\DRIVERS\USBSTOR.SYS"
.\debug.cpp(256) : 0xf795f000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xeedf2000 0x00041000 "\SystemRoot\system32\DRIVERS\fwlanusb.sys"
.\debug.cpp(256) : 0xf7ba7000 0x00008000 "\SystemRoot\system32\DRIVERS\usbccgp.sys"
.\debug.cpp(256) : 0xf7cef000 0x00003000 "\SystemRoot\system32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xf796f000 0x00009000 "\SystemRoot\system32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xf731a000 0x00004000 "\SystemRoot\system32\DRIVERS\kbdhid.sys"
.\debug.cpp(256) : 0xf7316000 0x00003000 "\SystemRoot\system32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xeedda000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xf7d6f000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c3000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf7302000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xf7baf000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf9c3000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xf7f04000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf9d5000 0x00043000 "\SystemRoot\System32\ati2dvag.dll"
.\debug.cpp(256) : 0xbfa18000 0x00045000 "\SystemRoot\System32\ati2cqag.dll"
.\debug.cpp(256) : 0xbfa5d000 0x00036000 "\SystemRoot\System32\atikvmag.dll"
.\debug.cpp(256) : 0xbfa93000 0x00292000 "\SystemRoot\System32\ati3duag.dll"
.\debug.cpp(256) : 0xbfd25000 0x00158000 "\SystemRoot\System32\ativvaxx.dll"
.\debug.cpp(256) : 0xecdb6000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xecc61000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xec93c000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xf7dc1000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xec75a000 0x00052000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xec58d000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xec64a000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xec1ae000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0x7c910000 0x000b6000 "\WINXP\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) :              Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_5961&SUBSYS_2063148C&REV_01#4&33b01bd3&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0013"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM12"
.\debug.cpp(400) :              Destination="\Device\porte12"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_0781&Pid_5406#1941921B0100A8E3#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) :              Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmIoDaemon"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) :              Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM13"
.\debug.cpp(400) :              Destination="\Device\porte13"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#13#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000063"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#20#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000065"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_1058&Pid_1001#574341535930303531323938#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&1415899c&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk3\DP(1)0-0+8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM14"
.\debug.cpp(400) :              Destination="\Device\porte14"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM20"
.\debug.cpp(400) :              Destination="\Device\porte20"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) :              Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&1415899c&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk3\DP(1)0-0+8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_090c&Pid_1000#3910030000250927#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-11"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) :              Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000029"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM21"
.\debug.cpp(400) :              Destination="\Device\porte21"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) :              Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) :              Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) :              Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E5FDECC1-7D06-4EA8-B290-5F3A901FA1D0}"
.\debug.cpp(400) :              Destination="\Device\{E5FDECC1-7D06-4EA8-B290-5F3A901FA1D0}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM22"
.\debug.cpp(400) :              Destination="\Device\porte22"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5"
.\debug.cpp(400) :              Destination="\Device\Video4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) :              Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col01#7&39a064ec&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\0000007b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"
.\debug.cpp(400) :              Destination="\Device\RdpDrDvMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#5&3552ef8f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2444&SUBSYS_53101462&REV_05#3&13c0b0c5&0&FC#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0007"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB02F#3&13c0b0c5&0#{cae56030-684a-11d0-d6f6-00a0c90f57da}"
.\debug.cpp(400) :              Destination="\Device\0000004c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) :              Destination="\Device\ParallelVdm0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&6547c88&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DP(1)0-0+6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#4&33bc18fa&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\FloppyPDO0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TosRFCOM"
.\debug.cpp(400) :              Destination="\Device\RFCOMM"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#14#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000064"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#21#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000066"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&aeb6a9a&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#4&2323ffb6&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) :              Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#11#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000061"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) :              Destination="\Device\Serial0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&278f36a&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk2\DP(1)0-0+7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#22#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000067"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM2"
.\debug.cpp(400) :              Destination="\Device\Serial1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) :              Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_062a&Pid_0107#5&1af498aa&0&2#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-10"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#BLUETOOTH#0000#{aa83bdcf-92fa-41ac-96d3-5e92b59c9b9d}"
.\debug.cpp(400) :              Destination="\Device\00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0400#3&13c0b0c5&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) :              Destination="\Device\0000004b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) :              Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) :              Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) :              Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\G:"
.\debug.cpp(400) :              Destination="\Device\Harddisk2\DP(1)0-0+7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{0c3e4db0-a0c7-11df-bd22-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{b6479e2e-3f4b-11de-ad69-001a4f9fc253}"
.\debug.cpp(400) :              Destination="\Device\Harddisk2\DP(1)0-0+7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{dc3792c4-4097-11de-ad6d-001a4f9fc253}"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DP(1)0-0+6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) :              Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMITSUMI_CD-ROM_FX320S_!B________________q01_____#5&227fd5e1&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) :              Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM6"
.\debug.cpp(400) :              Destination="\Device\porte6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) :              Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) :              Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_General&Prod_USB_Flash_Disk&Rev_1100#3910030000250927&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000079"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) :              Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM7"
.\debug.cpp(400) :              Destination="\Device\porte7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) :              Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) :              Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col01#7&39a064ec&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\0000007b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_SanDisk&Prod_Cruzer&Rev_7.01#1941921B0100A8E3&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000071"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac42-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) :              Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) :              Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive1"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DR2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_057c&Pid_6201#001A4F9FC253#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) :              Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\H:"
.\debug.cpp(400) :              Destination="\Device\Harddisk3\DP(1)0-0+8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) :              Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive2"
.\debug.cpp(400) :              Destination="\Device\Harddisk2\DR3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&6547c88&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DP(1)0-0+6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col02#7&39a064ec&0&0001#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\0000007c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) :              Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3104&SUBSYS_31041106&REV_63#4&3ab31f7f&0&0AF0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive3"
.\debug.cpp(400) :              Destination="\Device\Harddisk3\DR4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac43-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#6#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive4"
.\debug.cpp(400) :              Destination="\Device\Harddisk4\DR5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\I:"
.\debug.cpp(400) :              Destination="\Device\Harddisk1\DP(1)0-0+6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#10#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive5"
.\debug.cpp(400) :              Destination="\Device\Harddisk5\DR10"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD400BB-00JKA0______________________05.01C05#4457572d4143454d333134323632203020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T0L0-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\StarOpen"
.\debug.cpp(400) :              Destination="\Device\StarOpen"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_00#7&2b52c944&0&0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\0000007a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_01&Col03#7&39a064ec&0&0002#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\0000007d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_054c&Pid_0243#2A08062597414#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB006#3&13c0b0c5&0#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\0000004d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{95A2E55D-1469-4F59-B95E-8966C5D26807}"
.\debug.cpp(400) :              Destination="\Device\{95A2E55D-1469-4F59-B95E-8966C5D26807}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\J:"
.\debug.cpp(400) :              Destination="\Device\Harddisk5\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{7C4D2928-62AC-4DF9-BC5A-E4081B438125}"
.\debug.cpp(400) :              Destination="\Device\{7C4D2928-62AC-4DF9-BC5A-E4081B438125}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&278f36a&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk2\DP(1)0-0+7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) :              Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a225ac44-3f13-11de-ad63-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\0000003c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmConfig"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) :              Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000028"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1002&DEV_5941&SUBSYS_2062148C&REV_01#4&33b01bd3&0&0108#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0014"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) :              Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{8FDEF39A-230F-478B-9980-63F005068C0C}"
.\debug.cpp(400) :              Destination="\Device\{8FDEF39A-230F-478B-9980-63F005068C0C}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{3DBDA97B-295F-4265-8A22-8DAF4D9D9B27}"
.\debug.cpp(400) :              Destination="\Device\{3DBDA97B-295F-4265-8A22-8DAF4D9D9B27}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{07251ce2-8b45-11df-afe5-001a4f9fc253}"
.\debug.cpp(400) :              Destination="\Device\Harddisk5\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&1765a66b&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) :              Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\K:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TIWLNUSB"
.\debug.cpp(400) :              Destination="\Device\TIWLNUSB"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{71ad6fde-43dd-11de-ad78-001a4f9fc253}"
.\debug.cpp(400) :              Destination="\Device\Harddisk3\DP(1)0-0+8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmTrace"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#4&3ab31f7f&0&09F0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0009"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_090c&Pid_1000#AA04012700009144#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_WD&Prod_5000AAK_External&Rev_1.05#574341535930303531323938&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000074"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature2D152D14Offset7E00Length950A58200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) :              Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#5&2b42e9da&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_062a&Pid_0107&MI_00#7&2b52c944&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) :              Destination="\Device\0000007a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) :              Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_&Prod_Cn_Memory&Rev_1100#AA04012700009144&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000072"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) :              Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_13F6&DEV_0111&SUBSYS_39811462&REV_10#4&3ab31f7f&0&48F0#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&2903546a&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk5\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_Sony&Prod_Storage_Media&Rev_0100#2A08062597414&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000073"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D399BC0Offset7E00Length74701A8200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) :              Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{742A5901-15F9-4480-B458-93EDF3691E90}"
.\debug.cpp(400) :              Destination="\Device\{742A5901-15F9-4480-B458-93EDF3691E90}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"
.\debug.cpp(400) :              Destination="\Device\DmLoader"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) :              Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) :              Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) :              Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) :              Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) :              Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) :              Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) :              Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#12#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\00000062"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2442&SUBSYS_53101462&REV_05#3&13c0b0c5&0&FA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#2#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) :              Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1106&DEV_3038&SUBSYS_30381106&REV_61#4&3ab31f7f&0&08F0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0008"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{59EB8AE8-2FD5-4192-98D2-5D23B1FFC6B9}"
.\debug.cpp(400) :              Destination="\Device\{59EB8AE8-2FD5-4192-98D2-5D23B1FFC6B9}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_CD-RW_GCE-8526B________________1.02____#5&35398686&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP1T0L0-17"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) :              Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) :              Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) :              Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_057c&Pid_6201#001A4F9FC253#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) :              Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomMITSUMI_CD-ROM_FX320S_!B________________q01_____#5&227fd5e1&0&0.1.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Bluetooth#0004&0002#7#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM10"
.\debug.cpp(400) :              Destination="\Device\porte10"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#5&1cb9c7e5&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&2903546a&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\Harddisk5\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{147e5178-3f43-11de-ad68-00902722f5ca}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmInfo"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM11"
.\debug.cpp(400) :              Destination="\Device\porte11"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) :              Destination="\Device\avipbb"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) :      Size  Device Name          MBR Status
.\boot_cleaner.cpp(1153) :  --------------------------------------------
.\boot_cleaner.cpp(1197) :    37 GB  \\.\PhysicalDrive0  OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1242) : Done;

cosinus 05.08.2010 20:59
Der MBR ist aber ok.

Mach mal bitte ein neues OTL-Log mit der OTL.exe - stell bitte das Dateialter auf 90 Tage.

ReBlubb 05.08.2010 21:34
Die Logfiles:

Code:
OTL logfile created on: 05.08.2010 22:14:29 - Run 10
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 641,00 Mb Available Physical Memory | 63,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 7,70 Gb Free Space | 20,68% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 495,22 Mb Total Space | 495,04 Mb Free Space | 99,96% Space Free | Partition Type: FAT
Drive H: | 3,74 Gb Total Space | 3,74 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive I: | 14,90 Gb Total Space | 7,88 Gb Free Space | 52,85% Space Free | Partition Type: FAT32
Drive J: | 3,72 Gb Total Space | 3,71 Gb Free Space | 99,90% Space Free | Partition Type: FAT32
Drive K: | 465,64 Gb Total Space | 241,50 Gb Free Space | 51,86% Space Free | Partition Type: FAT32
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 180 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (IRENUM) -- C:\WINXP\System32\DRIVERS\irenum.sys File not found
DRV - (catchme) -- C:\DOKUME~1\xxx\LOKALE~1\Temp\catchme.sys File not found
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FWLANUSB) -- C:\WINXP\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINXP\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (tosrfbd) -- C:\WINXP\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) -- C:\WINXP\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (tosrfbnp) -- C:\WINXP\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosrfusb) -- C:\WINXP\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (tosporte) -- C:\WINXP\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINXP\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (Tosrfcom) -- C:\WINXP\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (tosrfnds) -- C:\WINXP\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINXP\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.28 21:29:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.28 21:29:01 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.6\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.04 18:50:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.6\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\extensions
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.26 19:52:30 | 000,000,098 | ---- | M]) - C:\WINXP\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ht tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ht tp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tps\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tps\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 180 Days ==========
 
[2010.08.05 20:24:20 | 009,157,960 | ---- | C] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Adminkonto\Desktop\SUPERAntiSpyware.exe
[2010.08.02 23:02:15 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.07.29 22:30:19 | 000,081,920 | ---- | C] (eSage Lab) -- C:\WINXP\System32\remover.exe
[2010.07.29 22:30:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop\bootkit_remover
[2010.07.29 22:18:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop\osam_autorun_manager_5_0_portable
[2010.07.29 22:17:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\WinRAR
[2010.07.29 22:13:23 | 000,000,000 | ---D | C] -- C:\WINXP\System32\LogFiles
[2010.07.29 19:18:44 | 000,000,000 | ---D | C] -- C:\CoFi8105C
[2010.07.27 19:30:37 | 000,000,000 | ---D | C] -- C:\CoFi
[2010.07.27 19:29:58 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.07.27 19:23:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.07.27 19:20:05 | 003,396,176 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Adminkonto\Desktop\ccsetup233.exe
[2010.07.26 21:50:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Avira
[2010.07.26 21:38:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.07.23 00:40:08 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.07.23 00:36:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia
[2010.07.23 00:36:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe
[2010.07.23 00:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Avira
[2010.07.22 23:33:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
[2010.07.22 23:31:36 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 23:31:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla
[2010.07.11 05:07:34 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\IETldCache
[2010.07.11 05:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Identities
[2010.07.11 05:07:23 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\Cookies
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\SendTo
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Favoriten
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Vorlagen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Netzwerkumgebung
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Druckumgebung
[2010.07.11 05:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop
[2010.06.16 20:35:00 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.2
[2010.03.27 14:28:39 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2010.03.27 14:28:39 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\ssmdrv.sys
[2010.03.27 14:28:38 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntdd.sys
[2010.03.27 14:28:38 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntmgr.sys
[2010.03.27 14:28:38 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.03.27 14:28:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.02.09 22:03:32 | 000,000,000 | ---D | C] -- C:\ittplay
 
========== Files - Modified Within 180 Days ==========
 
[2010.08.05 21:27:34 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.08.05 21:27:08 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.08.05 21:27:02 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.05 21:26:02 | 001,048,576 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.08.05 21:26:02 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.08.05 21:25:58 | 004,305,766 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.08.05 20:24:30 | 009,157,960 | ---- | M] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\xxx\Desktop\SUPERAntiSpyware.exe
[2010.08.04 18:13:08 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.29 22:29:47 | 000,036,833 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\bootkit_remover.rar
[2010.07.29 22:16:31 | 004,272,474 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\osam_autorun_manager_5_0_portable.rar
[2010.07.29 20:31:09 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\xvqwq4eg.exe
[2010.07.29 19:25:52 | 000,000,227 | ---- | M] () -- C:\WINXP\system.ini
[2010.07.29 19:13:03 | 003,746,860 | R--- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\CoFi.exe
[2010.07.28 22:01:53 | 000,000,466 | ---- | M] () -- C:\WINXP\audiovie.ini
[2010.07.28 21:42:46 | 000,179,372 | ---- | M] () -- C:\WINXP\WOC_CDDA.ini
[2010.07.28 21:38:02 | 000,115,349 | ---- | M] () -- C:\WINXP\cddabase.ini
[2010.07.27 19:28:53 | 000,015,736 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.07.27 19:20:40 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\CCleaner.lnk
[2010.07.27 19:20:06 | 003,396,176 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\xxx\Desktop\ccsetup233.exe
[2010.07.26 19:52:30 | 000,000,098 | ---- | M] () -- C:\WINXP\System32\drivers\etc\Hosts
[2010.07.22 23:31:39 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.21 19:50:20 | 000,081,920 | ---- | M] (eSage Lab) -- C:\WINXP\System32\remover.exe
[2010.06.20 22:12:38 | 000,000,100 | ---- | M] () -- C:\WINXP\WirelessFTP.INI
[2010.06.20 21:52:53 | 000,547,054 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2010.06.20 21:52:53 | 000,519,712 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2010.06.20 21:52:53 | 000,114,304 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2010.06.20 21:52:53 | 000,100,272 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2010.06.20 21:52:53 | 000,072,248 | ---- | M] () -- C:\WINXP\System32\PerfStringBackup.INI
[2010.06.16 20:36:17 | 000,001,451 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ICQ7.2.lnk
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2010.04.26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINXP\PEV.exe
[2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys
 
========== Files Created - No Company Name ==========
 
[2010.08.05 18:52:48 | 000,039,001 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\bootkit_remover_debug_log.txt
[2010.07.29 22:29:46 | 000,036,833 | ---- | C] () -- C:\Dokumente und Einstellungen\Axxx\Desktop\bootkit_remover.rar
[2010.07.29 22:16:29 | 004,272,474 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxDesktop\osam_autorun_manager_5_0_portable.rar
[2010.07.29 20:31:08 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\xvqwq4eg.exe
[2010.07.27 19:30:46 | 000,077,312 | ---- | C] () -- C:\WINXP\MBR.exe
[2010.07.27 19:20:40 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\CCleaner.lnk
[2010.07.27 19:15:03 | 003,746,860 | R--- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\CoFi.exe
[2010.07.11 05:08:46 | 000,000,075 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2010.07.11 05:07:12 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:07:10 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.11 05:07:10 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG
[2010.06.16 20:36:17 | 000,001,451 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ICQ7.2.lnk
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,179,372 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,115,349 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
Code:
OTL Extras logfile created on: 05.08.2010 22:14:29 - Run 10
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 641,00 Mb Available Physical Memory | 63,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 7,70 Gb Free Space | 20,68% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 495,22 Mb Total Space | 495,04 Mb Free Space | 99,96% Space Free | Partition Type: FAT
Drive H: | 3,74 Gb Total Space | 3,74 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive I: | 14,90 Gb Total Space | 7,88 Gb Free Space | 52,85% Space Free | Partition Type: FAT32
Drive J: | 3,72 Gb Total Space | 3,71 Gb Free Space | 99,90% Space Free | Partition Type: FAT32
Drive K: | 465,64 Gb Total Space | 241,50 Gb Free Space | 51,86% Space Free | Partition Type: FAT32
 
Computer Name: PC1
Current User Name:
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 180 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (ht tp://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 18.01.2010 14:25:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 18.01.2010 14:32:31 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 18.01.2010 14:32:31 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 18.01.2010 14:32:31 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 19.01.2010 15:33:24 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 19.01.2010 15:33:24 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 19.01.2010 15:33:24 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 20.01.2010 17:14:24 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 20.01.2010 17:14:24 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite  DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 20.01.2010 17:14:24 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 05.08.2010 14:31:19 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek General USB Flash Disk USB Device nicht laden.
 
Error - 05.08.2010 14:31:21 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek General USB Flash Disk USB Device nicht laden.
 
Error - 05.08.2010 14:31:21 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Sony Storage Media USB Device nicht laden.
 
Error - 05.08.2010 14:31:24 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Sony Storage Media USB Device nicht laden.
 
Error - 05.08.2010 14:31:24 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Cn Memory USB Device nicht laden.
 
Error - 05.08.2010 14:31:27 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Sony Storage Media USB Device nicht laden.
 
Error - 05.08.2010 14:31:29 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
 Bibliothek Cn Memory USB Device nicht laden.
 
Error - 05.08.2010 15:25:18 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 05.08.2010 15:25:23 | Computer Name = PC1 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  avgio
 
Error - 05.08.2010 15:27:40 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
 
< End of report >

cosinus 05.08.2010 21:48
Das Log ist auch unauffällig.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

ReBlubb 06.08.2010 17:45
Ok...Hier zuletzt Logfile Super Antispyware.Der hatte 2 Tracking-Cookies, die sind jetzt in Quarantäne, kann ich löschen, oder?


Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/06/2010 at 00:46 AM

Application Version : 4.41.1000

Core Rules Database Version : 5323
Trace Rules Database Version: 3135

Scan type      : Complete Scan
Total Scan Time : 01:49:27

Memory items scanned      : 455
Memory threats detected  : 0
Registry items scanned    : 5247
Registry threats detected : 0
File items scanned        : 67520
File threats detected    : 2

Adware.Tracking Cookie
        cdn2.themis-media.com [ C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\CX2HYKQA ]
        www.naiadsystems.com [ C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\CX2HYKQA ]
Also so wie´s aussieht sind OTL, Mbam und SuperAnti soweit unauffällig, also ist das Ding soweit wieder clean?

Hätte aus dem Threadverlauf noch´n paar Fragen...

ReBlubb 06.08.2010 20:03
Wenn ich schon dabei bin...Avira Vollscan:

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 6. August 2010  20:03

Es wird nach 2685466 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : PC1

Versionsinformationen:
BUILD.DAT      : 10.0.0.567    32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE    : 10.0.3.0      433832 Bytes  21.04.2010 18:12:46
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  21.04.2010 18:12:46
LUKE.DLL      : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 18:41:49
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 13:15:40
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 18:25:49
VBASE008.VDF  : 7.10.9.166      2048 Bytes  23.07.2010 18:25:49
VBASE009.VDF  : 7.10.9.167      2048 Bytes  23.07.2010 18:25:49
VBASE010.VDF  : 7.10.9.168      2048 Bytes  23.07.2010 18:25:49
VBASE011.VDF  : 7.10.9.169      2048 Bytes  23.07.2010 18:25:49
VBASE012.VDF  : 7.10.9.170      2048 Bytes  23.07.2010 18:25:49
VBASE013.VDF  : 7.10.9.198    157696 Bytes  26.07.2010 18:25:49
VBASE014.VDF  : 7.10.9.255    997888 Bytes  29.07.2010 19:20:25
VBASE015.VDF  : 7.10.10.28    139264 Bytes  02.08.2010 17:10:44
VBASE016.VDF  : 7.10.10.52    127488 Bytes  03.08.2010 16:15:40
VBASE017.VDF  : 7.10.10.84    137728 Bytes  06.08.2010 16:54:40
VBASE018.VDF  : 7.10.10.85      1536 Bytes  06.08.2010 16:54:40
VBASE019.VDF  : 7.10.10.86      1536 Bytes  06.08.2010 16:54:41
VBASE020.VDF  : 7.10.10.87      1536 Bytes  06.08.2010 16:54:41
VBASE021.VDF  : 7.10.10.88      1536 Bytes  06.08.2010 16:54:41
VBASE022.VDF  : 7.10.10.89      1536 Bytes  06.08.2010 16:54:41
VBASE023.VDF  : 7.10.10.90      1536 Bytes  06.08.2010 16:54:41
VBASE024.VDF  : 7.10.10.91      1536 Bytes  06.08.2010 16:54:41
VBASE025.VDF  : 7.10.10.92      1536 Bytes  06.08.2010 16:54:41
VBASE026.VDF  : 7.10.10.93      1536 Bytes  06.08.2010 16:54:41
VBASE027.VDF  : 7.10.10.94      1536 Bytes  06.08.2010 16:54:41
VBASE028.VDF  : 7.10.10.95      1536 Bytes  06.08.2010 16:54:41
VBASE029.VDF  : 7.10.10.96      1536 Bytes  06.08.2010 16:54:41
VBASE030.VDF  : 7.10.10.97      1536 Bytes  06.08.2010 16:54:41
VBASE031.VDF  : 7.10.10.101    53760 Bytes  06.08.2010 16:54:41
Engineversion  : 8.2.4.32 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 19:20:29
AESCRIPT.DLL  : 8.1.3.42    1364347 Bytes  30.07.2010 19:20:29
AESCN.DLL      : 8.1.6.1      127347 Bytes  12.05.2010 18:33:00
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 17:16:49
AERDL.DLL      : 8.1.8.2      614772 Bytes  20.07.2010 18:09:28
AEPACK.DLL    : 8.2.3.3      471414 Bytes  30.07.2010 19:20:28
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  21.07.2010 18:52:01
AEHEUR.DLL    : 8.1.2.10    2830711 Bytes  30.07.2010 19:20:28
AEHELP.DLL    : 8.1.13.2      242039 Bytes  20.07.2010 18:08:49
AEGEN.DLL      : 8.1.3.18      393589 Bytes  30.07.2010 19:20:26
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 17:16:48
AECORE.DLL    : 8.1.16.2      192887 Bytes  20.07.2010 18:08:40
AEBB.DLL      : 8.1.1.0        53618 Bytes  23.04.2010 17:16:47
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0      53096 Bytes  21.04.2010 18:12:47
AVSCPLR.DLL    : 10.0.3.0      83816 Bytes  21.04.2010 18:12:47
AVARKT.DLL    : 10.0.0.14    227176 Bytes  21.04.2010 18:12:46
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.53.0      98152 Bytes  21.04.2010 18:12:46

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, K:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 6. August 2010  20:03

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlangui.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '443' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'K:\' <EXTHD>


Ende des Suchlaufs: Freitag, 6. August 2010  20:54
Benötigte Zeit: 50:12 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  5005 Verzeichnisse wurden überprüft
 309813 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 309813 Dateien ohne Befall
  3008 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 256357 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
Muss ich mir um das hier
Code:
1 Versteckte Objekte wurden gefunden...

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
eigentlich Sorgen machen?

Und was mich wundert:Sonst immer hatten Scans unter´m Strich so 70 000Dateien, jetzte plötzlich 310 000.Der letzte is ne Weile her, aber dass sich das gleich verfünffacht?Haben die ganzen Scanner und Fixer so viel erstellt?

Und...Lautstärke geht immer nocht net über die Tastatur...

cosinus 06.08.2010 21:10
Zitat:
Und was mich wundert:Sonst immer hatten Scans unter´m Strich so 70 000Dateien, jetzte plötzlich 310 000.Der letzte is ne Weile her, aber dass sich das gleich verfünffacht?Haben die ganzen Scanner und Fixer so viel erstellt?
Kann ich nicht nachvollziehen, das kann an vielen liegen. Da wurden evtl etliche Dateien zB in gepackten Dateien vorher nicht untersucht. Wieviel Speicher ist denn auf der Festplatte noch frei? Signifikant weniger als vorher mit den 70000 Dateien?

Der versteckte Registry-Eintrag ist unkritisch.

ReBlubb 06.08.2010 21:48
Zitat:
Zitat von cosinus (Beitrag 551215)
Kann ich nicht nachvollziehen, das kann an vielen liegen. Da wurden evtl etliche Dateien zB in gepackten Dateien vorher nicht untersucht. Wieviel Speicher ist denn auf der Festplatte noch frei? Signifikant weniger als vorher mit den 70000 Dateien?

Der versteckte Registry-Eintrag ist unkritisch.
Nee, eigentlich nicht.Also System soweit sauber?Darf ich noch´n bissl löchern?

cosinus 06.08.2010 23:13
Zitat:
Darf ich noch´n bissl löchern?
Ist das eine rhetorische Frage? :confused:

ReBlubb 07.08.2010 04:03
Naja, hey...ich seh wieviel hier los ist, kann ja sein dass mit dern reinen Bereinigungsgeschichten so den Kanal voll hast dass du sagst auf allgemeine Fragen hast keinen Bock mehr.Viel von dem was nich wissen will hab ich zwischendurch schon mal gefragt und´s ist dann untergegangen.

cosinus 07.08.2010 12:58
Fass Deine Fragen doch einfach mal kurz und knapp zusammen, schreib keine Romane.

ReBlubb 10.08.2010 22:23
OK...In post 7 hab ich nen Teil eines logs gepostet der mich bissl irritiert, weil das gepostete auf einige Online-Virenscans zurückgeht, der Monate her ist.Ist von diesen Scans noch was aktiv auf meinem Rechner, oder ist das nur so ne Art Auflistung dass ich das mal gemacht hab?

Dann...wie krieg ich Das ganze Geraffel wieder von meinem Rechner runter?Wenn ich Superanti deinstallieren will meckert er rum "Error reading uninstall data"...ausserdem hab ich noch einige Ordner von Combofix, OTL und LOP S&D unter C, gibt´s da Bereinigungsroutinen?

cosinus 11.08.2010 06:56
Zitat:
OK...In post 7 hab ich nen Teil eines logs gepostet der mich bissl irritiert, weil das gepostete auf einige Online-Virenscans zurückgeht, der Monate her ist.Ist von diesen Scans noch was aktiv auf meinem Rechner, oder ist das nur so ne Art Auflistung dass ich das mal gemacht hab?
Was genau stört Dich daran, es sind doch nur Online-Scanner! Das sind ActiveX-Objekte im IE!

Zitat:
Wenn ich Superanti deinstallieren will meckert er rum "Error reading uninstall data"...ausserdem hab ich noch einige Ordner von Combofix, OTL und LOP S&D unter C, gibt´s da Bereinigungsroutinen?
Mit SASW gibt es normalerweise keine Probleme bei der Deinstallation. Sag jetzt aber nicht, Du bist schon wieder nicht als Admin drin :D denn ein normaler Benutzer darf nichts deinstallieren

Zitat:
...ausserdem hab ich noch einige Ordner von Combofix, OTL und LOP S&D unter C, gibt´s da Bereinigungsroutinen?
Auch hier die Frage, was stört Dich an diesen Ordner?
Die belasten das System nicht aber wenn Du unbedingt willst lösch sie!

ReBlubb 12.08.2010 21:37
Zitat:
Zitat von cosinus (Beitrag 553314)
Mit SASW gibt es normalerweise keine Probleme bei der Deinstallation. Sag jetzt aber nicht, Du bist schon wieder nicht als Admin drin :D denn ein normaler Benutzer darf nichts deinstallieren
Nee, da käme dann wohl auch ne andere Meldung als "Error reading uninstall data" ;-)
Womit krieg ich das weg, Vorschläge?

ReBlubb 16.08.2010 20:59
*inerinnerungbring*

cosinus 16.08.2010 21:04
Tja, was soll ich sagen? Viel mehr als Deinstallieren kann man nicht tun.
Eine Möglichkeit wäre noch, wenn Du das Setup von SASW wieder einmal sauber durchlaufen lässt. Evtl kannst Du danach SASW deinstallieren. Und wenn nicht bleibt es drauf ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131