Bytes Gesendet und Empfangen

#1 Pc/Inet Problem
Guten Abend

Seit einigen Tagen hat mein Internet einige Störungen ich weiß nicht woran das liegt

und zwar zurzeit kann ich mir kaum Videos auf Youtube oder myvideo anschauen weil er solange braucht
um zu buffern bevor das Problem auftrat funktionierte alles wunderbar ich konnte direkt die Videos anschauen

Ich dachte mir auch nichts weiter dabei doch dann wurde es immer schlimmer ich musste fast 5 min warten um mir ein Video anzuschauen das eine Minute ging da hab ich mir gedacht

rufe ich mal bei meinen Inet dienst an um mich zu vergewissern das alles in Ordnung ist die sagten mir auch das alles okay sei

Dann bin ich selbst auf die suche gegangen und da entdeckte ich was
was früher nie der Fall war

die Bytes die mein Lan kabel sendet und empfängt steigen innerhalb von 1 min ins Millionenfache vorher war dies aber nur so bei ca 25000 wenn überhaupt und ich weiß nicht was ich dagegen tun kann

kenne mich auch nicht mit so was aus
Vielleicht hat ja jemand ein Vorschlag wie ich dieses Problem lösen kann^^

Rotuer : Netgear



Log von Combofix

ComboFix 10-01-04.01 - Take Money 08.01.2010 23:08:58.1.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.191.74 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Take Money\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\jdyup.dat
c:\dokumente und einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\jdyup_nav.dat
c:\dokumente und einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\jdyup_navps.dat
c:\programme\ICQ6.5\ICQLRun.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-08 bis 2010-01-08 ))))))))))))))))))))))))))))))
.

2010-01-08 21:23 . 2010-01-08 21:24 435446 ----a-w- c:\windows\K8VMX211.zip
2010-01-08 21:09 . 2010-01-08 21:09 -------- d-----w- C:\FOUND.005
2010-01-08 20:22 . 2010-01-08 20:22 -------- d-----w- c:\programme\Trend Micro
2010-01-08 18:38 . 2010-01-08 18:38 -------- d-----w- c:\programme\CCleaner
2010-01-08 17:58 . 2010-01-08 17:58 -------- d-----w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\Malwarebytes
2010-01-08 17:58 . 2010-01-08 17:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-08 17:52 . 2008-07-14 04:09 205560 ----a-w- c:\windows\UNBOC.EXE
2010-01-08 17:52 . 2008-07-14 04:09 212728 ----a-w- c:\windows\CMDLIC.DLL
2010-01-05 20:37 . 2010-01-05 20:37 -------- d-----w- c:\windows\system32\NtmsData
2010-01-05 18:30 . 2010-01-05 18:30 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-01-05 17:44 . 2010-01-05 17:44 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-12-25 19:10 . 2009-12-25 19:10 -------- d-----w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\DivX
2009-12-22 17:07 . 2006-06-04 16:33 81920 ----a-w- c:\windows\system32\GkSui20.EXE
2009-12-21 19:16 . 2009-12-21 19:16 -------- d-----w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\ConvertTemp
2009-12-21 19:16 . 2009-12-21 19:16 -------- d-----w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\TransRender
2009-12-21 19:16 . 2009-12-21 19:16 -------- d-----w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\Temporary
2009-12-11 17:57 . 2009-12-11 17:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-06 20:01 . 2009-07-29 14:15 1 ----a-w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-05 19:06 . 2009-09-03 18:24 2098 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-12-10 05:10 . 2009-07-18 16:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 05:10 . 2009-07-18 16:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-12-07 15:29 . 2009-08-01 11:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-06 15:43 . 2009-12-06 15:43 -------- d-----w- c:\programme\Warcraft III
2009-11-28 20:47 . 2009-11-28 20:47 729088 ----a-w- c:\windows\iun6002.exe
2009-11-21 15:54 . 2009-07-18 15:57 471552 ----a-w- c:\windows\AppPatch\AcLayers.dll
2009-11-21 13:58 . 2009-11-21 13:58 -------- d-----w- c:\programme\LogMeIn Hamachi
2009-11-14 16:37 . 2009-11-14 16:37 -------- d-----w- c:\programme\Winamp
2009-11-14 16:37 . 2009-11-14 16:37 -------- d-----w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\Winamp
2009-11-14 00:49 . 2009-12-03 14:37 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2009-12-03 14:37 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-10-29 07:40 . 2009-07-18 16:02 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-25 19:44 . 2009-10-25 19:42 3520 ----a-w- c:\dokumente und einstellungen\Take Money\Anwendungsdaten\mdbu.bin
2009-10-21 05:38 . 2009-07-18 16:01 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2009-07-18 15:58 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 21:23 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 16:29 . 2009-07-18 18:56 35856 ----a-w- c:\dokumente und einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-13 10:32 . 2009-07-18 16:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2009-07-18 16:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-12 13:38 . 2009-07-18 16:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-07-18 15:40 . 2009-07-18 15:40 11253 ---h--w- c:\programme\folder.htt
2009-09-03 18:24 . 2009-09-03 18:24 56 --sh--r- c:\windows\system32\147780E58A.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" -autorun
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"sysinfo"=c:\windows\system32\rundll32.exe c:\dokume~1\TAKEMO~1\LOKALE~1\Temp\14750074Wsy.dll,Sets

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AutoRun"=c:\programme\BEWERBUNGSMASTER\UpdateCheck_BEWERBUNGSMASTER.exe
"Lexmark 3100 Series"="c:\programme\Lexmark 3100 Series\lxbrbmgr.exe"
"RaidTool"=c:\programme\VIA\RAID\raid_tool.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"WinampAgent"=c:\programme\Winamp\winampa.exe
"VTTrayp"=VTtrayp.exe
"VTTimer"=VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.EXE"=
"c:\\WINDOWS\\System32\\mmc.exe"=
"c:\\Dokumente und Einstellungen\\Take Money\\Eigene Dateien\\ICQ\\390935434\\ReceivedFiles\\360548546 Itachi\\Warcraft 3\\Warcraft III\\lancraft.exe"=
"c:\\Programme\\LogMeIn Hamachi\\hamachi-2-ui.exe"=
"c:\\Dokumente und Einstellungen\\Take Money\\Eigene Dateien\\ICQ\\390935434\\ReceivedFiles\\360548546 Itachi\\Warcraft 3\\Warcraft III\\Warcraft III.exe"=

R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [19.07.2009 19:45 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [19.07.2009 19:45 53248]
R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [03.09.2009 17:09 108768]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 10:13 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 12:46 251680]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [18.07.2009 17:01 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.08.2009 12:05 108289]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [06.05.2009 18:53 1220608]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.07.2009 18:36 717296]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [29.10.2009 12:27 1074568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
------- Dateityp-Verknüpfung -------
.
txtfile=c:\windows\NOTEPAD.EXE %1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-08 23:14
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3629.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3629.dll"
.
Zeit der Fertigstellung: 2010-01-08 23:17:02
ComboFix-quarantined-files.txt 2010-01-08 22:16

Vor Suchlauf: 13 Verzeichnis(se), 171.258.675.200 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 171.240.882.176 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 18A1D96F6015460B9270D277A1CA309D

#2 Gesendet 34 MB, empfangen knapp 1 GB - find ich nicht sehr auffällig. Insbesondere, wenn man sich Videos anschaut. Das eine oder andere herunter geladen und dann ist man schnell bei diesen Datenmengen. Combofix hat ja wohl auch ein bisschen Malware gefunden, aber wohl nichts sehr schlimmes (dieses jdyup ist eine Adware).

Dürfte ich noch ein HijackThis-Log sehen? Und hast Du einen Scan mit Malwarebytes gemacht?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hier ist der Log Von hijackthis

Also bevor ich überhaupt was runter geladen habe oder versucht habe ein Film zu starten waren die Bytes schon so hoch das passiert immer sobald ich irgend wie im inet surfe

Malwarebytes zwei mal gestartet einmal vor Combofix hat aber nix gefunden danach hat er zwei gefunden

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:00, on 09.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 3137 bytes

#4 Dann poste das Malwarebytes Log bitte hier.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

#5

Code

OTL logfile created on: 11.01.2010 15:48:40 - Run 2
OTL by OldTimer - Version 3.1.23.0     Folder = C:\Dokumente und Einstellungen\Take Money\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
191,00 Mb Total Physical Memory | 46,00 Mb Available Physical Memory | 24,00% Memory free
464,00 Mb Paging File | 167,00 Mb Available in Paging File | 36,00% Paging File free
Paging file location(s): C:\pagefile.sys 288 576 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 186,26 Gb Total Space | 159,32 Gb Free Space | 85,53% Space Free | Partition Type: FAT32
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: OMEGA
Current User Name: Take Money
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - [2010.01.10 06:22:04 | 00,543,744 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Take Money\Desktop\OTL.exe
PRC - [2010.01.07 18:19:24 | 00,908,248 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2009.08.05 12:06:50 | 00,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.08.01 19:53:16 | 00,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.07.20 12:41:52 | 00,152,984 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe
PRC - [2009.05.06 18:53:50 | 01,220,608 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2009.03.02 13:08:44 | 00,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.04.14 09:52:46 | 01,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.08.09 15:48:40 | 00,528,384 | R--- | M] (VIA Technologies, Inc.) -- C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
PRC - [2003.08.29 09:54:16 | 00,307,200 | ---- | M] (Lexmark International, Inc.) -- C:\WINDOWS\system32\LEXBCES.EXE
PRC - [2003.08.29 09:50:24 | 00,174,592 | ---- | M] (Lexmark International, Inc.) -- C:\WINDOWS\system32\LEXPPS.EXE
PRC - [2002.09.20 15:50:10 | 00,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - [2010.01.10 06:22:04 | 00,543,744 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Take Money\Desktop\OTL.exe
MOD - [2006.05.03 22:53:54 | 00,174,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\framedyn.dll
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - [2009.12.11 18:58:10 | 02,431,024 | ---- | M] () [Auto | Running] -- C:/Programme/Gemeinsame Dateien/Akamai/rswin_3629.dll -- (Akamai)
SRV - [2009.10.29 12:27:54 | 01,074,568 | ---- | M] (LogMeIn Inc.) [On_Demand | Stopped] -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - [2009.08.05 12:06:50 | 00,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.08.01 19:53:16 | 00,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.07.20 12:41:52 | 00,152,984 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- C:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.05.19 11:36:18 | 00,240,512 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort)
SRV - [2009.05.06 18:53:50 | 01,220,608 | ---- | M] (MAGIX AG) [Unknown | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008.08.07 11:10:02 | 03,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2003.08.29 09:54:16 | 00,307,200 | ---- | M] (Lexmark International, Inc.) [Auto | Running] -- C:\WINDOWS\system32\LEXBCES.EXE -- (LexBceS)
SRV - [2002.09.20 15:50:10 | 00,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - [2009.12.07 16:29:30 | 00,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.09.23 09:41:58 | 00,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.09.03 17:09:52 | 00,108,768 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV08.sys -- (ACEDRV08)
DRV - [2009.08.01 19:53:16 | 00,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.07.25 18:36:36 | 00,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2009.07.19 16:44:28 | 00,020,747 | ---- | M] (Meetinghouse Data Communications) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AegisP.sys -- (AegisP) AEGIS Protocol (IEEE 802.1x)
DRV - [2009.06.10 00:03:44 | 00,225,856 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2009.04.28 21:20:06 | 00,044,944 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\PxHelp20.sys -- (PxHelp20)
DRV - [2009.03.30 10:33:04 | 00,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.03.15 12:25:46 | 00,056,268 | ---- | M] (PowerISO Computing, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\scdemu.sys -- (SCDEmu)
DRV - [2009.02.13 12:35:02 | 00,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.09.24 10:40:22 | 04,122,368 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2008.04.14 00:09:16 | 00,020,480 | ---- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv)
DRV - [2008.04.13 22:15:14 | 00,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.03 15:42:34 | 00,053,248 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ViPrt.sys -- (ViPrt)
DRV - [2008.04.03 15:42:30 | 00,016,896 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ViBus.sys -- (ViBus)
DRV - [2007.09.21 17:49:10 | 00,009,216 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\videX32.sys -- (videX32)
DRV - [2007.07.27 12:46:06 | 00,251,680 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acehlp10.sys -- (acehlp10)
DRV - [2007.07.27 10:13:08 | 00,330,144 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV10.sys -- (acedrv10)
DRV - [2007.06.27 14:42:00 | 00,207,488 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vinyl97.sys -- (VIAudio) Vinyl AC'97 Audio Controller (WDM)
DRV - [2006.07.24 16:05:00 | 00,005,632 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\system32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2005.12.22 12:24:52 | 00,137,884 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdm.sys -- (sscdmdm)
DRV - [2005.12.22 12:24:52 | 00,010,864 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdfl.sys -- (sscdmdfl)
DRV - [2005.12.22 12:24:50 | 00,080,272 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM)
DRV - [2005.10.27 15:06:30 | 00,356,096 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt61.sys -- (RT61)
DRV - [2005.10.05 15:57:08 | 00,012,544 | ---- | M] (Conexant) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\mdmxsdk.sys -- (mdmxsdk)
DRV - [2005.08.30 17:59:00 | 00,094,000 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_mdm.sys -- (ss_mdm)
DRV - [2005.08.30 17:58:56 | 00,008,304 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_mdfl.sys -- (ss_mdfl)
DRV - [2005.08.30 17:57:18 | 00,058,320 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bus.sys -- (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM)
DRV - [2005.07.22 11:02:12 | 01,035,008 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2005.07.22 11:01:10 | 00,231,168 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys -- (HSFHWBS2)
DRV - [2005.07.22 11:01:00 | 00,717,952 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2005.05.20 00:55:12 | 00,227,200 | R--- | M] (Copyright (C) VIA/S3 Graphics Co, Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vtmini.sys -- (viagfx)
DRV - [2005.04.27 21:22:40 | 00,060,928 | R--- | M] (VIA Technologies inc,.ltd) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\viamraid.sys -- (viamraid)
DRV - [2004.08.14 20:56:20 | 00,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.07.24 03:17:08 | 00,042,496 | ---- | M] (VIA Technologies, Inc.              ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fetnd5b.sys -- (FETNDISB)
DRV - [2004.06.07 17:26:56 | 00,266,880 | ---- | M] (Analog Devices, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smwdm.sys -- (smwdm)
DRV - [2004.04.27 01:49:56 | 00,381,056 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (senfilt)
DRV - [2004.04.07 23:41:38 | 00,116,176 | ---- | M] (Andrea Electronics Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aeaudio.sys -- (aeaudio)
DRV - [2003.10.15 17:52:50 | 00,174,530 | ---- | M] (OmniVision Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ov519vid.sys -- (ovt519)
DRV - [2003.07.19 02:10:06 | 00,007,040 | R--- | M] (VIA Networking Technologies, Inc.       ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ntsim.sys -- (NTSIM)
DRV - [2002.09.21 02:53:34 | 00,235,100 | ---- | M] (Analog Devices Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MidiSyn.sys -- (MidiSyn)
DRV - [2001.08.23 16:00:00 | 00,017,792 | ---- | M] (Parallel Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ptilink.sys -- (Ptilink)
DRV - [2001.08.17 10:13:08 | 00,027,165 | ---- | M] (VIA Technologies, Inc.              ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fetnd5.sys -- (FETNDIS)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 6E 80 B7 0B CE 09 CA 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.defaultenginename: "Schnell Sucher"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.startup.homepage: "http://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.2
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.7
FF - prefs.js..extensions.enabledItems: smarterwiki@wikiatic.com:3.0.4
FF - prefs.js..extensions.enabledItems: illimitux@illimitux.net:3.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.07.18 20:53:28 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.07.18 20:53:28 | 00,000,000 | ---D | M]
 
[2009.07.18 20:53:56 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Extensions
[2009.07.18 20:53:56 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions
[2009.12.13 09:19:26 | 00,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.01.05 17:08:20 | 00,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2009.07.21 00:03:28 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions\ChoiceGuard@Microsoft
[2009.08.13 14:14:40 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2009.12.19 21:05:52 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions\illimitux@illimitux.net
[2010.01.05 18:56:34 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\extensions\smarterwiki@wikiatic.com
[2009.07.25 15:09:28 | 00,002,375 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\searchplugins\Schnell Sucher.xml
[2009.07.25 18:43:20 | 00,000,523 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles\or3ov786.default\searchplugins\daemon-search.xml
[2009.07.18 20:53:28 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2006.09.26 13:03:14 | 00,098,304 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
[2009.07.15 23:38:32 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.07.15 23:38:32 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.07.15 23:38:32 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.07.15 23:38:32 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
[2009.09.11 09:18:36 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
 
Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe (VIA Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.18 16:40:52 | 00,000,132 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.01.11 14:25:53 | 00,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.01.11 14:14:31 | 00,543,744 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Take Money\Desktop\OTL.exe
[2010.01.10 21:52:31 | 00,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\NSS
[2010.01.10 21:52:31 | 00,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\NSS\0203000.02C
[2010.01.10 21:52:05 | 00,000,000 | ---D | C] -- C:\Programme\NortonInstaller
[2010.01.10 18:13:51 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\My Art
[2010.01.09 12:45:24 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.01.09 11:52:31 | 00,000,000 | -HSD | C] -- C:\Recycled
[2010.01.09 11:42:37 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.09 11:42:30 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.09 11:42:30 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.08 23:07:51 | 00,000,000 | RHSD | C] -- C:\cmdcons
[2010.01.08 23:05:11 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.01.08 23:05:11 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.01.08 23:05:11 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.01.08 23:05:11 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.01.08 23:04:53 | 00,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.01.08 23:01:41 | 00,000,000 | ---D | C] -- C:\Qoobox
[2010.01.08 22:27:31 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Take Money\Recent
[2010.01.08 22:09:04 | 00,000,000 | ---D | C] -- C:\FOUND.005
[2010.01.08 21:22:02 | 00,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.01.08 19:38:11 | 00,000,000 | ---D | C] -- C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]
[2010.01.08 19:19:59 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.01.08 18:58:18 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Malwarebytes
[2010.01.08 18:58:05 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.01.08 18:52:17 | 00,024,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wsock32.dlb
[2010.01.08 18:52:01 | 00,205,560 | ---- | C] (COMODO) -- C:\WINDOWS\UNBOC.EXE
[2010.01.08 18:52:00 | 00,212,728 | ---- | C] (COMODO) -- C:\WINDOWS\CMDLIC.DLL
[2010.01.05 21:37:28 | 00,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.01.05 19:30:21 | 00,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.01.05 18:55:38 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.01.05 18:53:56 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2009.12.25 20:10:55 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\DivX
[2009.12.22 18:50:14 | 00,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2009.12.21 20:16:46 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\ConvertTemp
[2009.12.21 20:16:40 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\TransRender
[2009.12.21 20:16:40 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Temporary
[2009.11.21 14:58:50 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
[2009.10.04 10:41:56 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2009.07.18 17:22:18 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.07.18 17:21:58 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.07.18 17:10:44 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.07.18 17:10:44 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.01.11 14:28:14 | 00,000,961 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.01.11 14:28:14 | 00,000,281 | RHS- | M] () -- C:\boot.ini
[2010.01.11 14:28:14 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.01.11 13:09:36 | 00,000,367 | ---- | M] () -- C:\WINDOWS\lexstat.ini
[2010.01.11 10:27:06 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.01.11 10:27:04 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.01.11 10:27:02 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.01.10 22:15:20 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Take Money\ntuser.ini
[2010.01.10 22:15:18 | 07,602,176 | -H-- | M] () -- C:\Dokumente und Einstellungen\Take Money\NTUSER.DAT
[2010.01.10 19:42:50 | 00,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2010.01.10 19:32:56 | 00,035,080 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.01.10 18:53:08 | 00,000,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Player.lnk
[2010.01.10 18:51:34 | 00,001,403 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\DivX Movies.lnk
[2010.01.10 06:22:04 | 00,543,744 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Take Money\Desktop\OTL.exe
[2010.01.09 11:42:42 | 00,000,580 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.08 22:28:06 | 00,006,784 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_222751.reg
[2010.01.08 22:24:08 | 00,435,446 | ---- | M] () -- C:\WINDOWS\K8VMX211.zip
[2010.01.08 20:26:46 | 00,001,436 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_202610.reg
[2010.01.08 20:26:02 | 00,000,300 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_202559.reg
[2010.01.08 20:25:52 | 00,003,880 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_202546.reg
[2010.01.08 20:19:22 | 00,018,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.08 19:50:26 | 00,524,846 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_195006.reg
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.06 11:40:38 | 00,154,768 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.01.05 21:30:44 | 00,701,921 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\thed.pcap
[2010.01.05 21:19:00 | 00,000,064 | ---- | M] () -- C:\WINDOWS\System32\-1
[2010.01.05 20:06:44 | 00,002,098 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2009.12.29 22:01:52 | 00,422,438 | -H-- | M] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\Cache.mxc3
[2009.12.22 14:25:22 | 00,003,072 | -H-- | M] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\photothumb.db
[2009.12.20 01:38:10 | 01,578,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2009.12.13 22:02:58 | 00,000,511 | ---- | M] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\Verknüpfung mit ICQ.lnk
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.01.10 18:53:06 | 00,000,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Player.lnk
[2010.01.10 18:51:32 | 00,001,403 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\DivX Movies.lnk
[2010.01.09 11:42:41 | 00,000,580 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.08 23:07:54 | 00,000,211 | ---- | C] () -- C:\Boot.bak
[2010.01.08 23:07:53 | 00,262,448 | ---- | C] () -- C:\cmldr
[2010.01.08 23:05:11 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.01.08 23:05:11 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.01.08 23:05:11 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.01.08 23:05:11 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.01.08 23:05:11 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.01.08 22:27:53 | 00,006,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_222751.reg
[2010.01.08 22:24:07 | 00,524,288 | ---- | C] () -- C:\WINDOWS\K8VMX211.ROM
[2010.01.08 22:23:57 | 00,435,446 | ---- | C] () -- C:\WINDOWS\K8VMX211.zip
[2010.01.08 20:26:11 | 00,001,436 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_202610.reg
[2010.01.08 20:26:00 | 00,000,300 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_202559.reg
[2010.01.08 20:25:48 | 00,003,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_202546.reg
[2010.01.08 19:50:09 | 00,524,846 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\cc_20100108_195006.reg
[2010.01.05 21:30:43 | 00,701,921 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\thed.pcap
[2010.01.05 21:18:56 | 00,000,064 | ---- | C] () -- C:\WINDOWS\System32\-1
[2009.12.29 22:01:19 | 00,422,438 | -H-- | C] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\Cache.mxc3
[2009.12.22 18:07:05 | 00,081,920 | ---- | C] () -- C:\WINDOWS\System32\GkSui20.EXE
[2009.12.22 14:25:21 | 00,003,072 | -H-- | C] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\photothumb.db
[2009.12.13 22:02:56 | 00,000,511 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Desktop\Verknüpfung mit ICQ.lnk
[2009.10.25 20:42:32 | 00,003,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\mdbu.bin
[2009.10.12 22:15:44 | 00,000,113 | ---- | C] () -- C:\WINDOWS\(null)toolkit.ini
[2009.09.17 19:45:46 | 00,473,600 | ---- | C] () -- C:\WINDOWS\System32\oldharmony.dll
[2009.09.08 16:25:14 | 00,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8AE5807714.sys
[2009.09.08 16:25:13 | 00,002,098 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
[2009.09.07 18:46:12 | 00,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2009.09.07 18:40:40 | 00,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.09.03 19:40:35 | 00,237,568 | ---- | C] () -- C:\WINDOWS\System32\Unlha32.dll
[2009.09.03 19:24:22 | 00,000,056 | RHS- | C] () -- C:\WINDOWS\System32\147780E58A.sys
[2009.09.03 19:24:09 | 00,002,098 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2009.09.03 17:13:16 | 00,000,196 | ---- | C] () -- C:\WINDOWS\MusicStudio.INI
[2009.09.03 17:04:31 | 00,049,152 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll
[2009.08.28 16:47:56 | 00,000,205 | ---- | C] () -- C:\WINDOWS\videodeLuxe.INI
[2009.08.28 16:38:46 | 00,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2009.08.27 19:33:17 | 00,168,448 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.08.22 16:03:25 | 00,047,104 | ---- | C] () -- C:\WINDOWS\System32\KMVIDC32.DLL
[2009.08.17 19:30:17 | 00,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2009.08.17 19:30:17 | 00,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2009.08.06 19:00:43 | 00,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2009.08.06 18:59:03 | 00,005,817 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009.08.01 19:32:25 | 00,004,998 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xqkcebzs.dik
[2009.07.29 17:01:39 | 00,000,367 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2009.07.29 17:00:51 | 00,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbrvs.dll
[2009.07.29 17:00:07 | 00,000,181 | ---- | C] () -- C:\WINDOWS\System32\lxbrcoin.ini
[2009.07.25 18:36:34 | 00,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.07.19 20:25:01 | 00,000,033 | ---- | C] () -- C:\WINDOWS\System32\VGAunistlog.ini
[2009.07.19 20:16:09 | 00,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2009.07.19 17:32:27 | 00,057,344 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2009.07.19 17:29:37 | 00,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2009.07.19 17:29:34 | 00,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009.07.19 17:29:34 | 00,003,863 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.07.19 16:44:39 | 00,081,920 | ---- | C] () -- C:\WINDOWS\System32\Install6x.dll
[2009.07.19 14:51:41 | 00,018,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Take Money\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.18 16:40:11 | 00,011,253 | -H-- | C] () -- C:\Programme\folder.htt
[2005.08.30 00:00:00 | 00,781,312 | ---- | C] () -- C:\WINDOWS\System32\RGSS102J.dll
[2005.08.30 00:00:00 | 00,778,752 | ---- | C] () -- C:\WINDOWS\System32\RGSS102E.dll
[2005.08.30 00:00:00 | 00,771,584 | ---- | C] () -- C:\WINDOWS\System32\RGSS100J.dll
< End of report >

Code

OTL Extras logfile created on: 11.01.2010 15:59:03 - Run 2
OTL by OldTimer - Version 3.1.23.0     Folder = C:\Dokumente und Einstellungen\Take Money\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
191,00 Mb Total Physical Memory | 30,00 Mb Available Physical Memory | 16,00% Memory free
464,00 Mb Paging File | 132,00 Mb Available in Paging File | 29,00% Paging File free
Paging file location(s): C:\pagefile.sys 288 576 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 186,26 Gb Total Space | 159,31 Gb Free Space | 85,53% Space Free | Partition Type: FAT32
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: OMEGA
Current User Name: Take Money
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [SCHLECKER Foto Digital Service] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "%programfiles%\internet explorer\iexplore.exe" (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\ICQ6.5\ICQ.EXE" = C:\Programme\ICQ6.5\ICQ.EXE:*:Enabled:ICQ -- (ICQ, LLC.)
"C:\WINDOWS\System32\mmc.exe" = C:\WINDOWS\System32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\ICQ\390935434\ReceivedFiles\360548546 Itachi\Warcraft 3\Warcraft III\lancraft.exe" = C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\ICQ\390935434\ReceivedFiles\360548546 Itachi\Warcraft 3\Warcraft III\lancraft.exe:*:Disabled:lancraft -- ()
"C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" = C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe:*:Disabled:LogMeIn Hamachi -- (LogMeIn Inc.)
"C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\ICQ\390935434\ReceivedFiles\360548546 Itachi\Warcraft 3\Warcraft III\Warcraft III.exe" = C:\Dokumente und Einstellungen\Take Money\Eigene Dateien\ICQ\390935434\ReceivedFiles\360548546 Itachi\Warcraft 3\Warcraft III\Warcraft III.exe:*:Disabled:Warcraft III -- ()
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{067EC517-9731-43FD-B4D5-296EE0027BBB}" = LogMeIn Hamachi
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 14
"{29B3C64A-0F93-47CD-9C54-72C0C5578487}" = Samsung PC Studio
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{37A58B85-C98F-11D5-B694-00E07D72A995}" = RM2K Mp3 Patch v1.1
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{4D36E972-E325-11CE-BFC1-08002BE10318}" = Gigabyte GN-WI01GS
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = AsusUpdate
"{5A96225D-A3B7-4535-AE49-3BF217999669}" = RPG Maker Fonts
"{5A9FE525-8B8F-4701-A937-7F6745A4E9C7}" = RGSS-RTP Standard
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{70B7A167-0B88-445D-A3EA-97C73AA88CAC}" = Windows Live Toolbar
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B34CAC6-738F-4A20-B428-A115C3E3474C}" = RPGXP
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{AF37F9DE-0726-439E-BC10-43D9195394D0}" = Firebird SQL Server - MAGIX Edition
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}" = Samsung PC Studio 3 USB Driver Installer
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F1362843-0E0E-4F74-8662-724CF101ADCE}" = Skype web features
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FAB1F336-1B7C-4057-A7BC-2922CD82A781}" = Ralink Wireless LAN Card
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"AC3Filter" = AC3Filter (remove only)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Akamai" = Akamai NetSession Interface
"ALDI Süd Foto Manager Free D" = ALDI Süd Foto Manager Free
"ALDI Süd Foto Service D" = ALDI Süd Foto Service
"Aldi Süd Fotoservice_is1" = Aldi Süd Fotoservice
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CNXT_MODEM_PCI_VEN_14F1&DEV_2F20&SUBSYS_200014F1" = Soft Data Fax Modem with SmartCP
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 3.2
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"IrfanView" = IrfanView (remove only)
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.0.5 (Standard)
"Lexmark 3100 Series" = Lexmark 3100 Series
"Logitech Eyetoy Webcam" = Logitech Eyetoy Webcam
"LogMeIn Hamachi" = LogMeIn Hamachi
"MAGIX Xtreme Foto Designer 6 D" = MAGIX Xtreme Foto Designer 6 6.0.22.0 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MsgPlus! Plugin" = Messenger Plus! 3
"MSNINST" = MSN
"PhotoLine_is1" = PhotoLine 15.5.2.0
"PhotoScape" = PhotoScape
"PokerStars" = PokerStars
"PowerISO" = PowerISO
"ProtectDisc Driver 10" = ProtectDisc Helper Driver 10
"RPG Maker 2000 1.05" = RPG Maker 2000 1.05
"RPG Maker 2003_is1" = RPG Maker 2003 v1.08
"RPG Maker VX RTP_is1" = RPG Maker VX RTP
"RPG Maker VX_is1" = RPG Maker VX
"RPGAdvocates_RTP_1.0" = Common RTP 1.0
"RTP for RM2K (Png, Wav, Midi, Fonts)" = RTP for RM2K (Png, Wav, Midi, Fonts)
"SAMSUNG CDMA Modem" = SAMSUNG CDMA Modem Driver Set
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service
"Shockwave" = Shockwave
"ST6UNST #1" = BEWERBUNGSMASTER
"TIPP10_is1" = TIPP10 Version 2.0.3
"Trillian" = Trillian
"tv_enua" = Lernout & Hauspie TruVoice American English TTS Engine
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.0
"VUInstRhine" = VIA Rhine Family Fast Ethernet Adapter
"Warcraft III" = Warcraft III
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR archiver
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 11.10.2009 07:51:45 | Computer Name = OMEGA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msnmsgr.exe, Version 14.0.8089.726, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.10.2009 12:58:12 | Computer Name = OMEGA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung icq.exe, Version 6.5.0.1042, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x002f002f.
 
Error - 16.10.2009 05:18:41 | Computer Name = OMEGA | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 16.10.2009 05:23:09 | Computer Name = OMEGA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PokerStars.exe, Version 3.2.2.1, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 24.10.2009 10:07:06 | Computer Name = OMEGA | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
 Fehler auf.  Die Resource 'ThreadInit' wurde nicht zugewiesen.  Der Grund hierfür könnte
 zu wenig Hauptspeicher oder ein anderer Systemfehler sein.  Fehlercode: 0x18
 
Error - 25.10.2009 15:15:55 | Computer Name = OMEGA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msnmsgr.exe, Version 14.0.8089.726, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 30.10.2009 12:26:13 | Computer Name = OMEGA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.11.2009 15:58:43 | Computer Name = OMEGA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.11.2009 16:53:56 | Computer Name = OMEGA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung trillian.exe, Version 4.0.0.118, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 06.11.2009 01:08:38 | Computer Name = OMEGA | Source = ESENT | ID = 490
Description = svchost (1884) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
[ System Events ]
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
Error - 10.01.2010 13:17:28 | Computer Name = OMEGA | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {AE3A66BB-85FE-49B8-BF7B-4DB4E0005091}.
Fehler:
"%1450"
aufgetreten
 beim Starten dieses Befehls:  C:\Programme\Windows Live\Photo Gallery\WLXQuickTimeControlHost.exe
 -Embedding
 
[ TuneUp Events ]
Error - 25.07.2009 12:16:18 | Computer Name = OMEGA | Source = TuneUp Program Statistics | ID = 131840
Description = 
 
Error - 11.10.2009 13:10:02 | Computer Name = OMEGA | Source = TuneUp Program Statistics | ID = 131840
Description = 
 
Error - 12.12.2009 17:37:58 | Computer Name = OMEGA | Source = TuneUp Program Statistics | ID = 131840
Description = 
 
 
< End of report >

#6

Code

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3526
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.01.2010 12:33:44
mbam-log-2010-01-09 (12-33-44).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 180195
Laufzeit: 42 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WIN982\SYSTEM\JGAW400.DLL (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E5B28682-C87C-4FB0-8FBF-5AFAECE69DA4}\RP193\A0055106.sys (Malware.Trace) -> Quarantined and deleted successfully.

#7 Antwort folgt am Abend

#8 Kommt noch was? ^^

#9 Hallo

Tut mir echt leid. Wohl übersehen.

Grundsätzlich sehe ich nichts mehr ausser einigen veralteten Programme


Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in
das System eindringen, deinstalliere zunächst alle
vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte
den Rechner neu.


Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6
Update 17) von SUN.
Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem
auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den
Button "Continue" klicken. Dort die jre-6u17-windows-i586.exe downloaden und
anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren.



Programme updaten

Du verwendest zum Teil veraltete Software, die Sicherheitslücken auf deinem System
bildet, durch die Malware eindringen kann. Alle Software, die du auf deinem Rechner hast,
muss regelmäßig geupdatet werden, auch dann, wenn du sie nicht verwendest. Eine
einfache Möglichkeit, diese Software Updates zu überwachen, bietet der
Secunia Inspektor.



Tool-Bereinigung mit OTM

Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten
Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTM von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTM.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTM und andere Helferprogramme, die Du
im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden
entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch
welche übrig geblieben sein, lösche sie manuell.

#10 Hab ich alles gemacht dennoch ist das Problem immer noch da

hab schon die Leute von meinen Anbieter angerufen die meinen bei den wäre alles in Ordnung

mein Problem ist das ich jetzt nicht gucken kann ob es am Pc liegt oder einfach nur am router

kann ich erst in 2 Wochen nach schauen weil erst dann hab ich dann ein Laptop hier mit dem ich das Kontrollieren kann

solange ist warte zeit angesagt

#11 Das wäre auch meine Idee gewesen. Versuche es mit einem anderen System wie es aussieht

#12 So hab eben erfahren das der Laptop von meiner Schwester
bei dem ich das kontrollieren wollte genau das selbe Problem
hat und der Laptop ist in herford und nicht über unseren Router verbunden


dann hab ich heute ein Laptop von einem Freund an
unserem Router getestet seine Bytes lagen nach 22 min noch
immer unter 5000 bytes

Was mir eben eingefallen ist

Als ich den Laptop von meiner Schwester am 27 Dezember
(Da kam sie grade von der Arbeit sie war 2 tage nicht mit unserem Router verbunden )

Starten wollte konnte ich nicht auf das Inet an meinen
Router zugreifen 2 sek danach konnte mein Pc auch nicht
mehr auf mein Router zugreifen und ich war da ohne INet
und das ungefähr 30 min danach ging es plötzlich wieder


Vielleicht hatte meine Schwester irgend was auf
ihren Laptop was mein auch Infiziert hat

Also in Zwei Wochen bekommt ihr noch mal ein
komplett Bericht

Was bei Laptop alles gefunden wurde

#13 Dann gehen wir nochmals in die Tiefe :O)

Schritt 1

• BitDefender Online Virus Scanner
• Funktioniert ausschließlich mit dem Internet Explorer.
• Unterstützte Betriebssysteme: Windows 2000, Windows 2003, Windows 98, Windows Me, Windows NT, Windows VISTA, Windows XP
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Klicke auf "Ich bin einverstanden".
• ActiveX-Steuerelement und die Signaturen installieren lassen.
• Klicke auf "Start Scan".
• Die aktuellen Signaturen werden heruntergeladen und der Scan beginnt automatisch.
• Es öffnet sich ein kleines Fenster, in welchem Du den Fortgang verfolgen kannst.
• Klicke in diesem Fenster auf "Mehr" und dort auf "Erkannte Probleme".
• Klicke nach Beendigung des Scans auf "Klicken Sie hier, um den Bericht zu speichern".
• Kopiere die Ergebnisse des Berichtes hier in den Thread.
• Alternativ kannst Du in dem Fenster "Bericht senden" auf "Bericht anzeigen" klicken und den Inhalt hierher kopieren.
• Deinstallation: Im IE-Menüpunkt Extras => Uninstall BitDefender Online Scanner v8
• Bei Problemen bitte zunächst einen Blick in diese FAQ werfen.

Schritt 2

Rootkitscan mit F-Secure Blacklight

Lade dir F-Secure Blacklight herunter
• Installiere es in C:\Programme\Blacklight
• Trenne dich von Netz(W-Lan nicht vergessen)
• Deaktiviere alle laufenden Virenscanner etc
• Schließe alle offenen Programme und starte es durch klick auf die [color=green]fsbl.exe[/color]
• Klicke auf i accept the agreement-->Next-->Scan
• nach dem Scan klicke auf Close
• Die Logfile fsbl.xxx.log wird unter dem Blacklight Verzeichnis gespeichert
• Bitte posten
AntiVir Programme einschalten nicht vergessen bevor du ins Netz gehst

Schritt 3

Nun kontrollieren wir den Master Boot Record,ob alles in Ordnung ist:
• Downloade die MBR.exe von Gmer und
• speichere das Programm auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.

Schritt 4

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

#14 Bit Defender

Code

BitDefender QuickScan Beta 32-bit v0.9.9.0
------------------------------------------

Überprüfungsdatum:  Wed Jan 20 20:42:31 2010
Computer ID: 2D291711



Keine Infizierungen gefunden.
-------------------------------


Prozesse
--------
<unsigniert> ADeck Application                                    848    C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
<unsigniert> AntiVir Desktop                                      952    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
<unsigniert> AntiVir Desktop                                      684    C:\Programme\Avira\AntiVir Desktop\avguard.exe
<unsigniert> AntiVir Desktop                                      204    C:\Programme\Avira\AntiVir Desktop\sched.exe
<unsigniert> FABS - file change and backup server                 740    C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
<unsigniert> SoundMAX service agent                              1200    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

<verifiziert> Betriebssystem Microsoft® Windows®                   136    C:\WINDOWS\Explorer.EXE
<verifiziert> Betriebssystem Microsoft® Windows®                  3416    C:\WINDOWS\Explorer.EXE
<verifiziert> Betriebssystem Microsoft® Windows®                   996    C:\WINDOWS\system32\services.exe
<verifiziert> Betriebssystem Microsoft® Windows®                   752    C:\WINDOWS\System32\smss.exe
<verifiziert> Betriebssystem Microsoft® Windows®                  3040    C:\WINDOWS\system32\taskmgr.exe
<verifiziert> Betriebssystem Microsoft® Windows®                   936    C:\WINDOWS\system32\winlogon.exe
<verifiziert> Firefox                                             2188    C:\Programme\Mozilla Firefox\firefox.exe
<verifiziert> Java(TM) Platform SE 6 U18                           872    C:\Programme\Java\jre6\bin\jqs.exe
<verifiziert> MarkVision for Windows (32 bit)                     1896    C:\WINDOWS\system32\LEXBCES.EXE
<verifiziert> MarkVision for Windows (32 bit)                     2008    C:\WINDOWS\system32\LEXPPS.EXE
<verifiziert> Microsoft® Windows® Operating System                3884    C:\WINDOWS\System32\alg.exe
<verifiziert> Microsoft® Windows® Operating System                 912    C:\WINDOWS\system32\csrss.exe
<verifiziert> Microsoft® Windows® Operating System                1736    C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System                1008    C:\WINDOWS\system32\lsass.exe
<verifiziert> Microsoft® Windows® Operating System                2000    C:\WINDOWS\system32\spoolsv.exe
<verifiziert> Microsoft® Windows® Operating System                 644    C:\WINDOWS\System32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1192    C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1228    C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1288    C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1384    C:\WINDOWS\System32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1424    C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1572    C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System                1620    C:\WINDOWS\system32\svchost.exe


Netzwerkaktivität
-----------------
Vorgang svchost.exe (644) verbunden mit Anschluss 443 (HTTP over SSL) - 77.67.10.135
Vorgang firefox.exe (2188) verbunden mit Anschluss 80 (HTTP) - a88-221-40-20.deploy.akamaitechnologies.com

Vorgang svchost.exe (644) kontrolliert die Anschlüsse: 1032
Vorgang svchost.exe (1288) kontrolliert die Anschlüsse: 135 (RPC)
Vorgang LEXPPS.EXE (2008) kontrolliert die Anschlüsse: 1025 (RPC)


Autoruns und kritische Dateien
------------------------------
<unsigniert> ADeck Application                                   C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
<unsigniert> AntiVir Desktop                                     C:\Programme\Avira\AntiVir Desktop\avgnt.exe
<unsigniert> Windows Genuine Advantage                           C:\WINDOWS\System32\WGALOGON.DLL

<verifiziert> Adobe Acrobat                                       C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verifiziert> Adobe Reader and Acrobat Manager                    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\BROWSEUI.DLL
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\CRYPT32.DLL
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\CSCDLL.DLL
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\system32\logonui.exe
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\system32\sclgntfy.dll
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\SHELL32.DLL
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\STOBJECT.DLL
<verifiziert> Betriebssystem Microsoft® Windows®                  c:\windows\system32\userinit.exe
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\WLNOTIFY.DLL
<verifiziert> Microsoft® Windows® Operating System                C:\WINDOWS\System32\cryptnet.dll
<verifiziert> Microsoft® Windows® Operating System                C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System                C:\WINDOWS\System32\DIMSNTFY.DLL
<verifiziert> Microsoft® Windows® Operating System                C:\WINDOWS\System32\WPDShServiceObj.dll
<verifiziert> Windows® Internet Explorer                          C:\WINDOWS\System32\WEBCHECK.DLL
<verifiziert> µTorrent                                            C:\Programme\uTorrent\uTorrent.exe


Browser Plugins
---------------
<unsigniert> DivX Player Netscape Plugin                         C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll
<unsigniert> DivX Player Netscape Plugin                         C:\Programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
<unsigniert> nppdf32.DEU                                         C:\Programme\Internet Explorer\plugins\nppdf32.DEU
<unsigniert> nppdf32.DEU                                         C:\Programme\Mozilla Firefox\plugins\nppdf32.DEU
<unsigniert> Shockwave for Director                              C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
<unsigniert> VLC Multimedia Plug-in                              C:\Programme\VideoLAN\VLC\npvlc.dll
<unsigniert> Winamp Application Detector                         C:\Programme\Mozilla Firefox\plugins\npwachk.dll
<unsigniert> Zylom Plugin                                        C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll

<verifiziert> AcroIEHelperShim Library                            c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelpershim.dll
<verifiziert> Adobe Acrobat                                       C:\Programme\Internet Explorer\plugins\nppdf32.dll
<verifiziert> Adobe Acrobat                                       C:\Programme\Mozilla Firefox\plugins\nppdf32.dll
<verifiziert> Betriebssystem Microsoft® Windows®                  C:\WINDOWS\System32\MSWSOCK.DLL
<verifiziert> BitDefender QuickScan                               C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles/or3ov786.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
<verifiziert> BitDefender QuickScan                               C:\Dokumente und Einstellungen\Take Money\Anwendungsdaten\Mozilla\Firefox\Profiles/or3ov786.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
<verifiziert> DivX Web Player                                     C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
<verifiziert> Java Deployment Toolkit 6.0.180.7                   C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll
<verifiziert> Java(TM) Platform SE 6 U18                          c:\programme\java\jre6\bin\jp2ssv.dll
<verifiziert> Java(TM) Platform SE 6 U18                          c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<verifiziert> Microsoft Search Enhancement Pack                   c:\programme\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
<verifiziert> Microsoft® Windows® Operating System                C:\WINDOWS\system32\rsvpsp.dll
<verifiziert> Microsoft® Windows® Operating System                C:\WINDOWS\System32\WINRNR.DLL
<verifiziert> Mozilla Default Plug-in                             C:\Programme\Mozilla Firefox\plugins\npnul32.dll
<verifiziert> NPSWF32.dll                                         C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verifiziert> Silverlight Plug-In                                 c:\Programme\Microsoft Silverlight\3.0.50106.0\npctrl.dll
<verifiziert> Windows Live® Photo Gallery                         C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll
<verifiziert> Windows Presentation Foundation                     c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
<verifiziert> Windows® Internet Explorer                          C:\WINDOWS\System32\IEFRAME.DLL


fahlende Dateien
----------------
Datei nicht gefunden: C:\Programme\Comodo\CBOClean\BOCDRIVE.sys
eingetragen in: HKLM\System\CurrentControlSet\Services\BOCDRIVE"ImagePath"

Datei nicht gefunden: system32\drivers\nocashio.sys
eingetragen in: HKLM\System\CurrentControlSet\Services\nocashio"ImagePath"


Überprüfen
----------

Keine Dateien hochgeladen

Scan beendet - Kommunikation hat 2 Sek. gedauert
übertragene Daten - 0.05 MB gesendet, 2.75 KB empfangen
1004 Dateien und Module geprüft - 289 seconds

BlackLight Engine

Code

01/20/10 20:51:59 [Info]: BlackLight Engine 1.0.67 initialized
01/20/10 20:51:59 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/20/10 20:51:59 [Note]: 7019 4
01/20/10 20:51:59 [Note]: 7005 0
01/20/10 20:52:01 [Note]: 7006 0
01/20/10 20:52:01 [Note]: 7011 136
01/20/10 20:52:02 [Note]: 7026 0
01/20/10 20:52:02 [Note]: 7026 0
01/20/10 20:52:03 [Note]: FSRAW library version 1.7.1024
01/20/10 20:52:11 [Note]: 2000 1012
01/20/10 20:52:11 [Note]: 2000 1012
01/20/10 20:52:22 [Note]: 7007 0

MBR

Code

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

RootRepeal

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/01/20 20:54
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_diskdump.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_diskdump.sys
Address: 0xF8B7B000    Size: 16384    File Visible: No    Signed: -
Status: -

Name: dump_viamraid.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_viamraid.sys
Address: 0xF900E000    Size: 61440    File Visible: No    Signed: -
Status: -

Name: mbr.sys
Image Path: C:\DOKUME~1\TAKEMO~1\LOKALE~1\Temp\mbr.sys
Address: 0xEF96E000    Size: 20864    File Visible: No    Signed: -
Status: -

Name: PCI_PNP6132
Image Path: \Driver\PCI_PNP6132
Address: 0x00000000    Size: 0    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xECEF1000    Size: 49152    File Visible: No    Signed: -
Status: -

Name: spns.sys
Image Path: spns.sys
Address: 0xFA92B000    Size: 1048576    File Visible: No    Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000    Size: 0    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\WINDOWS\Prefetch\ROOTREPEAL.EXE-35D290F8.pf
Status: Visible to the Windows API, but not on disk.

Path: c:\dokumente und einstellungen\take money\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\or3ov786.default\cache\_cache_003_
Status: Allocation size mismatch (API: 1081344, Raw: 65536)

SSDT
-------------------
#: 041    Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf910bb46

#: 053    Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf910bb3c

#: 063    Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf910bb4b

#: 065    Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf910bb55

#: 071    Function Name: NtEnumerateKey
Status: Hooked by "spns.sys" at address 0xfa94aca2

#: 073    Function Name: NtEnumerateValueKey
Status: Hooked by "spns.sys" at address 0xfa94b030

#: 098    Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf910bb5a

#: 119    Function Name: NtOpenKey
Status: Hooked by "spns.sys" at address 0xfa92c0c0

#: 122    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf910bb28

#: 128    Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf910bb2d

#: 160    Function Name: NtQueryKey
Status: Hooked by "spns.sys" at address 0xfa94b108

#: 177    Function Name: NtQueryValueKey
Status: Hooked by "spns.sys" at address 0xfa94af88

#: 193    Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf910bb64

#: 204    Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf910bb5f

#: 247    Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf910bb50

#: 257    Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf910bb37

Stealth Objects
-------------------
Object: Hidden Code [Driver: Fastfat, IRP_MJ_CREATE]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLOSE]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_READ]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_WRITE]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_EA]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_EA]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLEANUP]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_PNP]
Process: System    Address: 0x81ad91f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System    Address: 0xffaba1f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_CREATE]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_CLOSE]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_READ]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_WRITE]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_POWER]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: USBSTOR, IRP_MJ_PNP]
Process: System    Address: 0xff6531f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System    Address: 0x81ade1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System    Address: 0xffaae1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System    Address: 0x81adf1f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_CREATE]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_CLOSE]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_POWER]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: atg6124oЅ敓⠐颰Ђఇ慆䍴ԇ,ࠀ, IRP_MJ_PNP]
Process: System    Address: 0xffa681f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_CREATE]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_CLOSE]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_POWER]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: viamraid, IRP_MJ_PNP]
Process: System    Address: 0x81adb1f8    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System    Address: 0xff60a500    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System    Address: 0xff60a500    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xff60a500    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xff60a500    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System    Address: 0xff60a500    Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System    Address: 0xff60a500    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System    Address: 0xffaad1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_CREATE]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_CLOSE]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_POWER]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_PNP]
Process: System    Address: 0x81adc1f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System    Address: 0xff7401f8    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_CREATE]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_CLOSE]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_READ]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_QUERY_INFORMATION]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_SET_INFORMATION]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_DIRECTORY_CONTROL]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_DEVICE_CONTROL]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_SHUTDOWN]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_LOCK_CONTROL]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_CLEANUP]
Process: System    Address: 0xff656500    Size: 121

Object: Hidden Code [Driver: CdfsЅః杇獬Ā, IRP_MJ_PNP]
Process: System    Address: 0xff656500    Size: 121

==EOF==

#15 Malware mit Dr. Web CureIt! beseitigen

Downloade Dr. Web CureIt! und speichere es auf Deinem Desktop.
Dr. Web CureIt! ist für alle Computer mit MS Windows 95OSR2/ 98/Me/NT 4.0/2000/XP/2003/Vista Betriebssysteme geeignet.

• Schalte Dein Antiviren-Programm ab.
• Starte die launch.exe durch Doppelklick.
• Dr. Web CureIt! legt nun automatisch einen eigenen Order in Deinem Userprofil an:
C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb
• Klicke auf "Starten".
• Breche die Schnellüberprüfung ab.
(durch Klick auf den viereckigen grünen Button (rechts in der Mitte).
• Stelle bei dem Reiter "Scannen" auf "Komplett scannen" um.
• Starte nun den Komplett-Scan durch Klick auf den dreieckigen Button.
• Wenn Funde gemacht werden, bitte desinfizieren lassen,
sollte das nicht möglich sein, die Funde verschieben lassen.
• Wenn der Scan beendet ist und Funde zu verzeichnen waren:
im Menü auf Datei und Berichtliste speichern
und als DrWeb.cvs auf Deinem Desktop speichern.
• Poste den Inhalt von DrWeb.cvs hier in den Thread.