namrxswcoe.exe enthält Trojaner

#0
20.01.2010, 00:50
Member

Beiträge: 27
#1 Habe mir vorhin was eingefangen gehabt, da schlug dann Antivir an und meldete mir unter C:\Users\MeinName\AppData\Local\Temp\mxnwrasceo.exe mehrere Trojanerfunde.
Habe dann sofort auf löschen gedrückt.
Danach dann mal wieder Highjackthis ausgeführt und alles was ominös schien rausgeschmissen.
Leider weiss ich nun nicht ob ich ihn dadurch beseitigen konnte.
Denn ist nun im Verzeichniss C:\Users\MeinName\AppData\Roaming ein Verzeichniss namens SystemProc in dem sich ein lsass.exe befindet. Diese hat mir HJT als evt. gefährlich gemeldet, ist aber nicht wegzubekommen, sie steht bei mir als schreibgeschützt oder was auch immer (schreibschutz habe ich schon versucht zu entfernen) und kann man nicht löschen, weil ich keinen zugriff habe (Ist aber Adminaccount). Sie hat auch nach dem neustart als von der Firewall identifiziertes "Critical Windows Update" von dort versucht zu connecten, habe das aber mal vorsichtshalber geblockt, weil so ne Datei dort ja ansich nix zu tun hat und das ganze mich bissle an Sasser erinnerte.
Nun ist die Frage wie ich die Datei wegbekomme ?, Antivir meldet übrigens die Datei währe in Ordnung -> bin trotzdem skeptisch.

Anbei hänge ich noch nen HJT Log, falls jemand was auffälliges sieht oder einen Virus /Trojaner entdeckt, scheut euch nicht mir das mitzuteilen ;-)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:34:25, on 20.01.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\nvraidservice.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32\nvraidservice.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: ASETRES.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Cyanide - C:\Windows\system32\pr2agqwb.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Protection Technology (StarForce) - C:\Windows\system32\pr2agqwc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

--
End of file - 7145 bytes
Seitenanfang Seitenende
20.01.2010, 09:38
Member

Themenstarter

Beiträge: 27
#2 Okay, kurz vnachdem ich hier geschrieben habe, poppte wieder Avira auf und meldete neue Trojanerfunde -> Trojanerdownloader .
Habe dann nachts mal abgesicherten Modus gestartet und avira per "Löschen" durchlaufen lassen.
Wurde dann laut Log auch die besagte Exe , die wiedermal nen anderen Trojaner enthielt gelöscht.
Habe dann noch Windowsupdate im normalen Modus ausgeführt und konnte dann auch die lsass.exe löschen.

Bin jetzt seid ner Stunde im IE unterwegs und bis jetzt wurde noch nix wieder gefunden.
Kann man nur hoffen das es so bleibt.
Seitenanfang Seitenende
20.01.2010, 12:05
Moderator

Beiträge: 5694
#3 Hallo Kuni25



Schritt 1

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Schritt 2

Malwarebytes Anti-Malware

Lade MBAM herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

Schritt 3

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
20.01.2010, 20:16
Member

Themenstarter

Beiträge: 27
#4

Code


xportierte Ereignisse:

19.01.2010 23:44 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\namrxswcoe.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen

19.01.2010 23:44 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\nrecmawsxo.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei in Quarantäne verschieben

20.01.2010 00:58 [Guard] Malware gefunden
      In der Datei 'C:\Windows\System32\net.net'
      wurde ein Virus oder unerwünschtes Programm 'TR/Click.VBiframe.apy' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen

20.01.2010 02:30 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\aowsmxcnre.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Click.VBiframe.apy'
      [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

20.01.2010 01:01 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\mresxoacwn.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.gy.9' [trojan] gefunden.
      Ausgeführte Aktion: Datei löschen

19.01.2010 23:44 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\oswemxnarc.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vilsel.ojq' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.01.2010 23:45 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\namrxswcoe.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen

19.01.2010 23:45 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\nrecmawsxo.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.01.2010 23:45 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\oswemxnarc.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vilsel.ojq' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.01.2010 23:45 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\mxnwrasceo.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.01.2010 23:45 [Guard] Malware gefunden
      In der Datei 'C:\Users\Jens - Uwe\AppData\Local\Temp\mxnwrasceo.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern



Antivir Funde.

Code



Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3603
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18865

20.01.2010 19:57:35
mbam-log-2010-01-20 (19-57-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 111916
Laufzeit: 23 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D} (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Trojan.Swisyn) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Users\Jens - Uwe\AppData\Local\Temp\wcrnsaemxo.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Trojan.Swisyn) -> Quarantined and deleted successfully.
C:\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.




Malwarebytes Logfile.

Code



OTL logfile created on: 20.01.2010 20:04:56 - Run 1
OTL by OldTimer - Version 3.1.25.2     Folder = C:\neuestsaves
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18865)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 70,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 294,33 Gb Total Space | 29,08 Gb Free Space | 9,88% Space Free | Partition Type: NTFS
Drive D: | 294,03 Gb Total Space | 258,06 Gb Free Space | 87,77% Space Free | Partition Type: NTFS
Drive E: | 4,11 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: JENS-UWES-PC
Current User Name: Jens - Uwe
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\neuestsaves\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
PRC - C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe (Ray Adams)
PRC - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe (PC Tools)
PRC - C:\Programme\PC Tools Firewall Plus\FWService.exe (PC Tools)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (Advanced Micro Devices Inc.)
PRC - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ATI Technologies Inc.)
PRC - C:\Windows\System32\Ati2evxx.exe (ATI Technologies Inc.)
PRC - C:\Windows\System32\nvraidservice.exe (NVIDIA Corporation)
PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
PRC - C:\Programme\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
PRC - C:\Windows\System32\WUDFHost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\wbem\unsecapp.exe (Microsoft Corporation)
PRC - C:\Windows\System32\mobsync.exe (Microsoft Corporation)
PRC - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe ()
PRC - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe ()
PRC - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe (Acer Inc.)
PRC - C:\Programme\Common Files\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\CyberLink\Shared Files\RichVideo.exe ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\neuestsaves\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Ray Adams\ATI Tray Tools\raphook.dll ()
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TeamViewer4) -- C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (GoogleDesktopManager-080708-050100) -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
SRV - (PCToolsFirewallPlus) -- C:\Programme\PC Tools Firewall Plus\FWService.exe (PC Tools)
SRV - (Ati External Event Utility) -- C:\Windows\System32\Ati2evxx.exe (ATI Technologies Inc.)
SRV - (eDataSecurity Service) -- C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
SRV - (pr2agqwb) Loki Drivers Auto Removal (pr2agqwb) -- C:\Windows\System32\pr2agqwb.exe (Cyanide)
SRV - (Acer HomeMedia Connect Service) -- C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (eSettingsService) -- C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe ()
SRV - (AcerMemUsageCheckService) -- C:\Acer\Empowering Technology\ePerformance\MemCheck.exe ()
SRV - (eRecoveryService) -- C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe (Acer Inc.)
SRV - (pr2agqwc) Loki Drivers Auto Removal (pr2agqwc) -- C:\Windows\System32\pr2agqwc.exe (Protection Technology (StarForce))
SRV - (LightScribeService) -- C:\Program Files\Common Files\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (ehstart) -- C:\Windows\ehome\ehstart.dll (Microsoft Corporation)
SRV - (odserv) -- C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (RichVideo) Cyberlink RichVideo Service(CRVS) -- C:\Program Files\CyberLink\Shared Files\RichVideo.exe ()
SRV - (IDriverT) -- C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys ()
DRV - (atitray) -- C:\Programme\Ray Adams\ATI Tray Tools\atitray.sys ()
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (SSHDRV76) -- C:\Windows\System32\drivers\SSHDRV76.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (sfsync04) StarForce Protection Synchronization Driver (version 4.x) -- C:\Windows\System32\drivers\sfsync04.sys (Protection Technology (StarForce))
DRV - (sfdrv01a) StarForce Protection Environment Driver (version 1.x.a) -- C:\Windows\System32\drivers\sfdrv01a.sys (Protection Technology (StarForce))
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\Windows\System32\drivers\sfdrv01.sys (Protection Technology (StarForce))
DRV - (pctplfw) -- C:\Windows\System32\drivers\pctplfw.sys (PC Tools)
DRV - (SSHDRV64) -- C:\Windows\System32\drivers\SSHDRV64.sys ()
DRV - (PCTAppEvent) -- C:\Windows\System32\drivers\PCTAppEvent.sys (PC Tools)
DRV - (pctgntdi) -- C:\Windows\System32\drivers\pctgntdi.sys (PC Tools)
DRV - (SFilter) -- C:\Windows\System32\drivers\pctfw.sys (PC Tools)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (nvstor32) -- C:\Windows\system32\drivers\nvstor32.sys (NVIDIA Corporation)
DRV - (nvrd32) -- C:\Windows\system32\drivers\nvrd32.sys (NVIDIA Corporation)
DRV - (ps7agqwb) Loki Synchronization Driver (ps7agqwb) -- C:\Windows\system32\drivers\ps7agqwb.sys (Protection Technology (StarForce))
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.)
DRV - (NTIDrvr) -- C:\Windows\System32\drivers\NTIDrvr.sys (NewTech Infosystems, Inc.)
DRV - (psdvdisk) -- C:\Windows\System32\drivers\PSDVdisk.sys (Egis Incorporated)
DRV - (PSDNServ) -- C:\Windows\System32\drivers\PSDNServ.sys (Egis Incorporated)
DRV - (PSDFilter) -- C:\Windows\system32\DRIVERS\psdfilter.sys (Egis Incorporated)
DRV - (pe3agqwc) Loki Environment Driver (pe3agqwc) -- C:\Windows\system32\drivers\pe3agqwc.sys (Protection Technology (StarForce))
DRV - (pe3agqwb) Loki Environment Driver (pe3agqwb) -- C:\Windows\system32\drivers\pe3agqwb.sys (Protection Technology (StarForce))
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (avmeject) -- C:\Windows\System32\drivers\avmeject.sys (AVM Berlin)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvmfdx32.sys (NVIDIA Corporation)
DRV - (zntport) -- C:\Windows\System32\drivers\zntport.sys (Zeal SoftStudio)
DRV - (tvicport) -- C:\Windows\System32\drivers\TVicPort.sys (EnTech Taiwan)
DRV - (netr73) -- C:\Windows\System32\drivers\netr73.sys (Ralink Technology Inc.)
DRV - (acehlp10) -- C:\Windows\System32\drivers\acehlp10.sys (Protect Software GmbH)
DRV - (acedrv10) -- C:\Windows\System32\drivers\ACEDRV10.sys (Protect Software GmbH)
DRV - (nvsmu) -- C:\Windows\System32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (int15) -- C:\Acer\Empowering Technology\eRecovery\int15.sys (Acer, Inc.)
DRV - (ps6agqwc) Loki Synchronization Driver (ps6agqwc) -- C:\Windows\system32\drivers\ps6agqwc.sys (Protection Technology (StarForce))
DRV - (FWLANUSB) -- C:\Windows\System32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (secdrv) -- C:\Windows\System32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\Windows\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\Windows\System32\drivers\sfhlp02.sys (Protection Technology (StarForce))
DRV - (iaStor) -- C:\Windows\system32\drivers\iastor.sys (Intel Corporation)
DRV - (MRVW225) -- C:\Windows\System32\drivers\MRVW225.sys (A/WLAN-1)
DRV - (RT73) -- C:\Windows\System32\drivers\rt73.sys (Ralink Technology, Corp.)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://global.acer.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://global.acer.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


[2010.01.20 19:57:35 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

O1 HOSTS File: ([2006.09.18 22:41:30 | 00,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (ShowBarObj Class) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll (Egis)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O4 - HKLM..\Run: [00PCTFW] C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe (PC Tools)
O4 - HKLM..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [eRecoveryService]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NVRaidService] C:\Windows\System32\nvraidservice.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [AtiTrayTools] C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe (Ray Adams)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 89.199.255.3
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img11.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img11.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 00,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.21 18:26:21 | 00,000,057 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{c17831d6-d72b-11dd-84fc-001d929b0ddf}\Shell - "" = AutoRun
O33 - MountPoints2\{c17831d6-d72b-11dd-84fc-001d929b0ddf}\Shell\AutoRun\command - "" = J:\pushinst.exe -- File not found
O33 - MountPoints2\{f34b7332-d726-11dd-9501-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{f34b7332-d726-11dd-9501-806e6f6e6963}\Shell\AutoRun\command - "" = E:\OblivionLauncher.exe -- [2006.02.27 16:17:52 | 01,662,976 | R--- | M] (Bethesda Softworks)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.01.20 19:31:54 | 00,000,000 | ---D | C] -- C:\Users\Jens - Uwe\AppData\Roaming\Malwarebytes
[2010.01.20 19:31:49 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.01.20 19:31:46 | 00,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.01.20 19:31:40 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.01.20 19:31:40 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.20 08:32:04 | 00,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2010.01.20 08:31:06 | 00,181,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2010.01.20 08:25:48 | 00,031,232 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\httpapi.dll
[2010.01.20 08:25:48 | 00,024,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\nshhttp.dll
[2010.01.20 08:23:20 | 00,594,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2010.01.20 08:23:19 | 01,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2010.01.20 08:23:19 | 01,469,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2010.01.20 08:23:19 | 00,387,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll
[2010.01.20 08:23:19 | 00,184,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2010.01.20 08:23:19 | 00,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ie4uinit.exe
[2010.01.20 08:23:19 | 00,164,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2010.01.20 08:23:19 | 00,133,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2010.01.20 08:23:19 | 00,109,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesysprep.dll
[2010.01.20 08:23:19 | 00,071,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesetup.dll
[2010.01.20 08:23:19 | 00,055,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iernonce.dll
[2010.01.20 08:23:19 | 00,055,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll
[2010.01.20 08:23:19 | 00,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2010.01.20 08:23:19 | 00,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe
[2010.01.20 08:23:10 | 00,104,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\netiohlp.dll
[2010.01.20 08:23:10 | 00,027,136 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\NETSTAT.EXE
[2010.01.20 08:23:10 | 00,019,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ARP.EXE
[2010.01.20 08:23:10 | 00,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ROUTE.EXE
[2010.01.20 08:23:10 | 00,011,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MRINFO.EXE
[2010.01.20 08:23:10 | 00,010,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\finger.exe
[2010.01.20 08:23:10 | 00,009,728 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\TCPSVCS.EXE
[2010.01.20 08:23:10 | 00,008,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\HOSTNAME.EXE
[2010.01.20 08:23:09 | 00,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\netevent.dll
[2010.01.20 08:22:35 | 00,310,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\unregmp2.exe
[2010.01.20 08:22:34 | 08,147,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wmploc.DLL
[2010.01.20 08:22:18 | 03,597,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2010.01.20 08:22:18 | 03,546,184 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2010.01.20 08:22:15 | 00,714,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\timedate.cpl
[2010.01.20 08:22:10 | 00,028,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Apphlpdm.dll
[2010.01.20 08:22:09 | 04,240,384 | ---- | C] (Microsoft) -- C:\Windows\System32\GameUXLegacyGDFs.dll
[2010.01.20 08:22:07 | 02,868,224 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mf.dll
[2010.01.20 08:22:07 | 02,386,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\WMVCORE.DLL
[2010.01.20 08:22:05 | 00,302,592 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wlansec.dll
[2010.01.20 08:22:05 | 00,293,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wlanmsm.dll
[2010.01.20 08:22:05 | 00,127,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\L2SecHC.dll
[2010.01.20 08:22:01 | 02,035,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2010.01.20 08:21:05 | 00,156,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\t2embed.dll
[2010.01.20 08:21:05 | 00,072,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\fontsub.dll
[2010.01.20 08:20:18 | 00,726,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript.dll
[2010.01.20 08:20:18 | 00,281,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\raschap.dll
[2010.01.20 08:20:18 | 00,244,224 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rastls.dll
[2010.01.20 08:19:53 | 00,351,232 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\WSDApi.dll
[2010.01.20 08:19:21 | 00,604,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\WMSPDMOD.DLL
[2010.01.20 08:13:37 | 00,044,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups2.dll
[2010.01.20 08:13:36 | 02,421,760 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wucltux.dll
[2010.01.20 08:13:25 | 00,575,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapi.dll
[2010.01.20 08:13:25 | 00,087,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wudriver.dll
[2010.01.20 08:13:25 | 00,035,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups.dll
[2010.01.20 08:13:20 | 00,171,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuwebv.dll
[2010.01.20 08:13:20 | 00,033,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapp.exe
[2010.01.20 00:12:28 | 00,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.01.19 23:44:47 | 00,000,000 | -HSD | C] -- C:\Users\Jens - Uwe\AppData\Roaming\SystemProc
[2010.01.19 23:44:46 | 00,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2009.12.27 13:37:14 | 00,000,000 | ---D | C] -- C:\Users\Jens - Uwe\.abn
[2009.12.24 11:10:18 | 00,000,000 | ---D | C] -- C:\Users\Jens - Uwe\AppData\Roaming\PeerNetworking
[2009.12.24 11:07:49 | 00,000,000 | ---D | C] -- C:\WebCD
[2009.12.24 00:27:53 | 00,000,000 | ---D | C] -- C:\Programme\TDK Mediactive
[2009.12.22 19:11:57 | 00,000,000 | ---D | C] -- C:\neuestsaves
[2008.10.10 04:56:55 | 00,049,152 | ---- | C] ( ) -- C:\Windows\INTEROP.IWSHRUNTIMELIBRARY.DLL
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.01.20 20:06:22 | 02,883,584 | -HS- | M] () -- C:\Users\Jens - Uwe\ntuser.dat
[2010.01.20 20:02:51 | 00,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.01.20 20:02:51 | 00,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.01.20 20:02:50 | 00,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.01.20 20:02:48 | 00,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.01.20 20:02:45 | 32,203,73504 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.20 20:01:47 | 00,524,288 | -HS- | M] () -- C:\Users\Jens - Uwe\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2010.01.20 20:01:47 | 00,065,536 | -HS- | M] () -- C:\Users\Jens - Uwe\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2010.01.20 20:01:46 | 06,291,456 | -H-- | M] () -- C:\Users\Jens - Uwe\AppData\Local\IconCache.db
[2010.01.20 19:31:51 | 00,000,822 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.20 18:15:23 | 00,000,045 | ---- | M] () -- C:\Users\Jens - Uwe\jagex_runescape_preferences2.dat
[2010.01.20 18:15:23 | 00,000,039 | ---- | M] () -- C:\Users\Jens - Uwe\jagex_runescape_preferences.dat
[2010.01.20 16:36:55 | 01,541,724 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.01.20 16:36:55 | 00,664,044 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.01.20 16:36:55 | 00,625,384 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.01.20 16:36:55 | 00,142,416 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.01.20 16:36:55 | 00,116,946 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.01.20 08:37:02 | 00,348,640 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.01.20 00:56:01 | 00,096,104 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2010.01.20 00:56:01 | 00,056,816 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2010.01.20 00:56:01 | 00,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2010.01.20 00:23:07 | 00,068,096 | ---- | M] () -- C:\Users\Jens - Uwe\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.20 00:12:28 | 00,001,878 | ---- | M] () -- C:\Users\Jens - Uwe\Desktop\HijackThis.lnk
[2010.01.17 22:22:03 | 21,246,7149 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.01.17 22:05:07 | 00,006,647 | ---- | M] () -- C:\Users\Jens - Uwe\Documents\ATT Backup.reg
[2010.01.16 22:00:21 | 00,000,023 | ---- | M] () -- C:\Windows\BlendSettings.ini
[2010.01.14 11:12:06 | 00,181,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2009.12.26 20:57:38 | 00,085,808 | ---- | M] () -- C:\Users\Jens - Uwe\AppData\Local\GDIPFONTCACHEV1.DAT
[2009.12.26 15:41:37 | 00,001,938 | ---- | M] () -- C:\Users\Public\Desktop\Rise Of Legends.lnk
[2009.12.24 12:38:27 | 00,002,039 | ---- | M] () -- C:\Users\Public\Desktop\Europa Universalis - Rome.lnk
[2009.12.24 11:10:18 | 00,026,340 | ---- | M] () -- C:\Users\Jens - Uwe\AppData\Roaming\UserTile.png
[2009.12.24 00:42:08 | 00,043,520 | ---- | M] () -- C:\Windows\System32\CmdLineExt03.dll
[2009.12.24 00:37:07 | 00,000,911 | ---- | M] () -- C:\Users\Jens - Uwe\Desktop\Conan.lnk
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.01.20 19:31:51 | 00,000,822 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.20 08:22:05 | 02,501,921 | ---- | C] () -- C:\Windows\System32\wlan.tmf
[2010.01.20 08:08:51 | 32,203,73504 | -HS- | C] () -- C:\hiberfil.sys
[2010.01.20 00:12:28 | 00,001,878 | ---- | C] () -- C:\Users\Jens - Uwe\Desktop\HijackThis.lnk
[2010.01.17 22:05:05 | 00,006,647 | ---- | C] () -- C:\Users\Jens - Uwe\Documents\ATT Backup.reg
[2009.12.26 15:41:37 | 00,001,938 | ---- | C] () -- C:\Users\Public\Desktop\Rise Of Legends.lnk
[2009.12.24 12:38:27 | 00,002,039 | ---- | C] () -- C:\Users\Public\Desktop\Europa Universalis - Rome.lnk
[2009.12.24 11:10:18 | 00,026,340 | ---- | C] () -- C:\Users\Jens - Uwe\AppData\Roaming\UserTile.png
[2009.12.24 00:41:37 | 00,043,520 | ---- | C] () -- C:\Windows\System32\CmdLineExt03.dll
[2009.12.24 00:37:07 | 00,000,911 | ---- | C] () -- C:\Users\Jens - Uwe\Desktop\Conan.lnk
[2009.10.26 19:51:28 | 00,281,760 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys
[2009.10.26 19:51:28 | 00,025,888 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys
[2009.10.16 12:00:16 | 00,028,672 | ---- | C] () -- C:\Windows\System32\Alphablending.dll
[2009.05.31 12:00:17 | 00,008,478 | ---- | C] () -- C:\Users\Jens - Uwe\AppData\Roaming\.civclientrc
[2009.05.30 14:50:50 | 00,000,000 | ---- | C] () -- C:\Users\Jens - Uwe\AppData\Roaming\AVSDVDPlayer.m3u
[2009.05.06 14:35:24 | 00,000,023 | ---- | C] () -- C:\Windows\BlendSettings.ini
[2009.04.29 15:58:29 | 00,053,760 | ---- | C] () -- C:\Windows\System32\drivers\SSHDRV76.sys
[2009.04.06 22:40:37 | 00,001,356 | ---- | C] () -- C:\Users\Jens - Uwe\AppData\Local\d3d9caps.dat
[2009.03.27 20:10:33 | 00,069,632 | R--- | C] () -- C:\Windows\System32\xmltok.dll
[2009.03.27 20:10:33 | 00,036,864 | R--- | C] () -- C:\Windows\System32\xmlparse.dll
[2009.01.21 21:57:12 | 00,000,604 | ---- | C] () -- C:\Windows\Edofma.INI
[2009.01.16 19:44:17 | 00,113,152 | ---- | C] () -- C:\Windows\System32\drivers\SSHDRV64.sys
[2009.01.15 21:13:57 | 00,524,288 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2009.01.15 21:13:57 | 00,139,264 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008.12.31 19:06:07 | 00,068,096 | ---- | C] () -- C:\Users\Jens - Uwe\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.12.31 18:26:38 | 00,000,000 | ---- | C] () -- C:\Users\Jens - Uwe\AppData\Roaming\wklnhst.dat
[2008.12.31 12:09:35 | 00,000,044 | ---- | C] () -- C:\Windows\Acer(Normal).ini
[2008.12.31 12:09:35 | 00,000,042 | ---- | C] () -- C:\Windows\Acer(Wide).ini
[2008.10.10 04:57:03 | 00,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2008.03.21 23:49:55 | 00,001,024 | RH-- | C] () -- C:\Windows\System32\NTIBUN4.dll
[2008.03.21 22:05:48 | 00,001,108 | ---- | C] () -- C:\Windows\generic.ini
[2008.03.21 22:05:48 | 00,000,138 | ---- | C] () -- C:\Windows\Alaunch.ini
[2008.03.21 15:18:28 | 00,015,656 | ---- | C] () -- C:\Windows\System32\drivers\int15_64.sys
[2006.11.02 13:35:32 | 00,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 08:40:29 | 00,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2001.12.26 15:12:30 | 00,065,536 | ---- | C] () -- C:\Windows\System32\multiplex_vcd.dll
[2001.09.03 22:46:38 | 00,110,592 | ---- | C] () -- C:\Windows\System32\Hmpg12.dll
[2001.07.30 15:33:56 | 00,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC.dll
[2001.07.23 21:04:36 | 00,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC_MMX.dll

[color=#E56717]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:C31F31E6
< End of report >



erster OTL Log.

Code



OTL Extras logfile created on: 20.01.2010 20:04:56 - Run 1
OTL by OldTimer - Version 3.1.25.2     Folder = C:\neuestsaves
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18865)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 70,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 294,33 Gb Total Space | 29,08 Gb Free Space | 9,88% Space Free | Partition Type: NTFS
Drive D: | 294,03 Gb Total Space | 258,06 Gb Free Space | 87,77% Space Free | Partition Type: NTFS
Drive E: | 4,11 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: JENS-UWES-PC
Current User Name: Jens - Uwe
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[color=#E56717]========== Authorized Applications List ==========[/color]


[color=#E56717]========== Vista Active Open Ports Exception List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{16191D51-247B-4E6A-84D2-D0A5B24EBABB}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{2D52299A-729F-4419-B9CC-9DA5A6690C5E}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{44AE7A69-0E22-450A-B086-128EC4A775F6}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{49BD2C68-1819-4138-B8A0-34CCC8B9331E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{49EE23BB-3CBC-4683-8AF3-029EEB114A1A}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{8BF74A0F-5DDD-4073-A987-6E1E47605D2F}" = rport=2869 | protocol=6 | dir=out | app=system |
"{98F2893E-E98E-42C2-BC1A-3F7B54D8DD1D}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{F0D3940F-A6BD-408D-9557-782123F7060A}" = lport=2869 | protocol=6 | dir=in | app=system |

[color=#E56717]========== Vista Active Application Exception List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00F409FF-363F-4FD0-858E-2428F4BCD54A}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 |
"{01350D99-BD53-4269-9E02-47237B17EFE0}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{017E7ED2-E7CA-48C3-B5DF-AB365B8B5FF9}" = protocol=6 | dir=in | app=c:\program files\microsoft games\age of empires iii\age3y.exe |
"{077D2931-DB4D-4CCD-99C5-11DB2FC33C10}" = dir=in | app=c:\program files\acer arcade live\acer homemedia trial creator\acer homemedia trial creator.exe |
"{0CD05FD1-C15A-4937-BD39-34109956FCC3}" = protocol=17 | dir=in | app=c:\program files\deep silver\s.t.a.l.k.e.r. - clear sky\bin\dedicated\xrengine.exe |
"{16B75AFF-6E45-46BA-9C92-27A37F80DC78}" = protocol=6 | dir=in | app=c:\program files\thq\s.t.a.l.k.e.r. - shadow of chernobyl\bin\dedicated\xr_3da.exe |
"{1F737DB0-A5FC-4DAA-B056-E3C3DA941552}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{25D621FC-745C-429F-814B-D4DE9DB3D629}" = protocol=17 | dir=in | app=c:\program files\thq\s.t.a.l.k.e.r. - shadow of chernobyl\bin\dedicated\xr_3da.exe |
"{2D937DCC-89DF-408A-B5B0-485337D6B49C}" = dir=in | app=c:\program files\acer arcade live\acer homemedia\acer homemedia.exe |
"{35D53898-57BE-4F42-B36A-0743BE2F1468}" = dir=in | app=c:\program files\acer arcade live\acer slideshow dvd\acer slideshow dvd.exe |
"{36937799-BC4C-4B1E-9DA7-D0283980FDC4}" = protocol=6 | dir=in | app=c:\program files\runes of magic\runes of magic.exe |
"{3D0BBA1A-1778-422C-8463-0C173358E807}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwupdate.exe |
"{477CC923-154A-4DF4-820F-E9D8085DF2D7}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main_amdxp.exe |
"{49882D28-AA3F-468E-8977-CFDA931FCF3F}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main_amdxp.exe |
"{49B7AFDA-70C1-46BF-A337-3D9B5FADA38B}" = protocol=6 | dir=in | app=c:\program files\teamviewer\version4\teamviewer.exe |
"{4A2B8E65-E8D3-48C5-B0A3-CAA9BF40AECE}" = protocol=6 | dir=in | app=c:\program files\cyanide\loki\loki.exe |
"{4D56D392-50C7-48E8-8CE2-A2FEC81D8D05}" = dir=in | app=c:\program files\acer arcade live\acer arcade live main page\acer arcade live.exe |
"{517282B5-1386-470C-9994-67A1F8B8E0D8}" = protocol=17 | dir=in | app=c:\program files\cyanide\loki\loki.exe |
"{5C41464C-B4BE-441A-95B6-0A1FA681548F}" = protocol=6 | dir=in | app=c:\program files\anno 1701\anno1701.exe |
"{5DEA3349-828E-4918-91F4-B0D1849FF61F}" = protocol=17 | dir=in | app=c:\program files\firefly studios\stronghold 2\stronghold2.exe |
"{66FE125B-7E15-40F7-A811-9AB990751C3E}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main.exe |
"{6FB8C8C0-D32D-4493-947F-746BC26B32C3}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwupdate.exe |
"{7048A093-B216-41C5-BCFC-8E4F3E030112}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2server.exe |
"{74E49773-B069-4E97-B1B7-740F344E9DE1}" = protocol=6 | dir=in | app=c:\program files\cyanide\loki\autorun\autorun.exe |
"{76773E90-8769-4112-ADE0-94C54C7A9798}" = protocol=17 | dir=in | app=c:\program files\deep silver\s.t.a.l.k.e.r. - clear sky\bin\xrengine.exe |
"{8E91677E-91A6-48EF-B777-191CEA2725A3}" = protocol=17 | dir=in | app=c:\program files\microsoft games\age of empires iii\age3x.exe |
"{9B5B299B-F2D9-4FEE-9DD6-F06B810F03E2}" = protocol=17 | dir=in | app=c:\program files\runes of magic\runes of magic.exe |
"{9E3E4422-A530-4D29-8F41-BB825D768B5D}" = protocol=6 | dir=in | app=c:\program files\deep silver\s.t.a.l.k.e.r. - clear sky\bin\xrengine.exe |
"{A3127F50-2D05-4EE7-8655-32BCFCD63B59}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2server.exe |
"{A3B416BD-6980-4235-BE55-1B9529AE5EBB}" = dir=in | app=c:\program files\acer arcade live\acer videomagician\acer videomagician.exe |
"{A51E935D-6A79-46BB-8933-E9FF12832596}" = protocol=6 | dir=in | app=c:\program files\firefly studios\stronghold 2\stronghold2.exe |
"{A78DCB96-4E71-458A-9FE9-FC207F59063B}" = protocol=17 | dir=in | app=c:\program files\teamviewer\version4\teamviewer.exe |
"{A9D3D55E-8A7C-4C76-9B31-D43364A4BAC6}" = protocol=6 | dir=in | app=c:\program files\firefly studios\stronghold legends\strongholdlegends.exe |
"{AAC16799-B31F-4D06-8253-3E9DFF808539}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main.exe |
"{B43071B5-AC7D-459D-BFF5-0330FDC34F2D}" = protocol=17 | dir=in | app=c:\program files\firefly studios\stronghold legends\strongholdlegends.exe |
"{B4ED7DB1-D058-4BEB-8954-5ECD99CB01B0}" = protocol=6 | dir=in | app=c:\program files\deep silver\s.t.a.l.k.e.r. - clear sky\bin\dedicated\xrengine.exe |
"{BCCE2808-3651-42B2-B6C0-3FC7A8BC2D36}" = dir=in | app=c:\program files\acer arcade live\acer dv magician\acer dv magician.exe |
"{BE330352-4982-457F-8DF1-B1289FEF365A}" = protocol=17 | dir=in | app=c:\program files\microsoft games\age of empires iii\age3y.exe |
"{C00FD3C5-4BC7-4880-A82F-9A48F7ABA477}" = dir=in | app=c:\program files\acer arcade live\acer homemedia connect\kernel\dms\clmsserver.exe |
"{C8366C07-2131-473C-BBED-D27222D02A87}" = dir=in | app=c:\program files\acer arcade live\acer dvdivine\acer dvdivine.exe |
"{D2CD39C1-909A-49B5-A473-9AE6FD3BF08F}" = protocol=6 | dir=in | app=c:\program files\thq\s.t.a.l.k.e.r. - shadow of chernobyl\bin\xr_3da.exe |
"{D64B9BE2-AD71-472C-9DB8-D2D6810FAB82}" = dir=in | app=c:\program files\acer arcade live\acer homemedia connect\acer homemedia connect.exe |
"{DC96B31F-5D1B-4D34-954B-65049D1139C7}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{E4E27D99-32BD-4CEE-9A40-833D1C8013A0}" = protocol=17 | dir=in | app=c:\program files\cyanide\loki\autorun\autorun.exe |
"{E77C9B83-5AC7-4472-9D1D-353BA21675F6}" = protocol=17 | dir=in | app=c:\program files\anno 1701\anno1701.exe |
"{E7D18076-7F18-48A6-BAA3-F1EF74B18589}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{EC0B5B32-9DA0-4F30-BF3D-B2CDF15C1C83}" = protocol=6 | dir=in | app=c:\program files\microsoft games\age of empires iii\age3x.exe |
"{EEC9F8EA-8A1F-40BE-A1A3-0A9DF06D9327}" = protocol=17 | dir=in | app=c:\program files\thq\s.t.a.l.k.e.r. - shadow of chernobyl\bin\xr_3da.exe |
"TCP Query User{08299D11-58E1-40CC-93BC-84F9B1D7A592}C:\program files\activision\empires dawn of the modern world\empires_dmw.exe" = protocol=6 | dir=in | app=c:\program files\activision\empires dawn of the modern world\empires_dmw.exe |
"TCP Query User{0BC068B8-FB1A-43E1-86B1-E301643087DE}J:\yuleech-runes_of_magic_en-en.exe" = protocol=6 | dir=in | app=j:\yuleech-runes_of_magic_en-en.exe |
"TCP Query User{0F6A56FA-64A4-43EB-B9E7-42532B7515FC}C:\program files\ea games\ultima online mondain's legacy\client.exe" = protocol=6 | dir=in | app=c:\program files\ea games\ultima online mondain's legacy\client.exe |
"TCP Query User{14B75A4F-8A54-4CF0-92C0-6FE556BEE0D9}C:\program files\free download manager\fdm.exe" = protocol=6 | dir=in | app=c:\program files\free download manager\fdm.exe |
"TCP Query User{FB32BF94-875C-4256-BB78-69FECE1F542B}C:\program files\namco bandai games\warhammer® mark of chaos\warhammer.exe" = protocol=6 | dir=in | app=c:\program files\namco bandai games\warhammer® mark of chaos\warhammer.exe |
"UDP Query User{1AE4275E-CE82-4EF5-828D-D0F95C06E9B2}J:\yuleech-runes_of_magic_en-en.exe" = protocol=17 | dir=in | app=j:\yuleech-runes_of_magic_en-en.exe |
"UDP Query User{25E6699D-1D8D-4098-8D47-B5E785E3EF89}C:\program files\free download manager\fdm.exe" = protocol=17 | dir=in | app=c:\program files\free download manager\fdm.exe |
"UDP Query User{78DE4545-59F4-4EB0-BC92-98E11074ED00}C:\program files\namco bandai games\warhammer® mark of chaos\warhammer.exe" = protocol=17 | dir=in | app=c:\program files\namco bandai games\warhammer® mark of chaos\warhammer.exe |
"UDP Query User{8CB2050F-9DCB-4B3D-BBBE-FE7A85644AC2}C:\program files\activision\empires dawn of the modern world\empires_dmw.exe" = protocol=17 | dir=in | app=c:\program files\activision\empires dawn of the modern world\empires_dmw.exe |
"UDP Query User{C7C2FD3E-427D-449D-810D-261168F83F81}C:\program files\ea games\ultima online mondain's legacy\client.exe" = protocol=17 | dir=in | app=c:\program files\ea games\ultima online mondain's legacy\client.exe |

[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{1102B81E-73F2-339C-E299-C48D7CA32441}" = Catalyst Control Center Graphics Full Existing
"{1259D05F-D20C-4E07-845E-5728C0E164B2}_is1" = Neocron Evolution 2.2
"{132888AE-EF67-41C5-BCA2-7D5D2488AB63}" = Acer HomeMedia Connect
"{14CF71FD-281E-91AD-941C-BFAA649C1E12}" = CCC Help German
"{15422767-809D-8D9C-140D-99B39C9683DA}" = Catalyst Control Center Graphics Full New
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"{1598034D-7147-432C-8CA8-888E0632D124}" = NTI Backup NOW! 4.7
"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"{1650594B-3979-48DB-B8F2-4634CAA872A3}_is1" = Runes of Magic
"{16D2C649-CBA8-44EE-B730-12584667D487}" = Stronghold 2 Deluxe
"{186DB7E2-1C55-0715-12E1-7FC473D30A4C}" = Catalyst Control Center Graphics Previews Common
"{1C08A24C-B168-407E-A826-68FAF5F20710}" = Age of Empires III - The WarChiefs
"{1FCC8C70-66B9-420D-942C-2C2A8441C744}" = Imperial Glory
"{20071984-5EB1-4881-8EDB-082532ACEC6D}" = Heroes of Might and Magic V
"{22CA391A-0589-403F-98AF-8030513E7C3A}" = Castle Strike
"{25CBB3CA-0E6A-417F-AA68-2D85B6EC4C23}_is1" = Bounty Bay Online
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 13
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3944E3A8-616D-4BC5-80C5-CFA45A80D9D7}" = Spells of Gold
"{3A1BBC38-2602-B555-24D3-942F01D8DC39}" = CCC Help English
"{3E5CBADD-2E51-47C1-BBE2-B802DB6DA56A}" = MetaTrader 4.00
"{41581EF5-45A7-11DA-9D78-000129760D75}" = Acer SlideShow DVD
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{59C80C5E-8C92-40FF-B910-2BB5C7281F61}" = Europa Universalis III
"{5F374D5D-DB43-4263-9C29-BAB2C93FEFE6}" = Warhammer® Mark of Chaos
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{61249874-492D-4028-AAA4-939F15D162E5}" = The Kreed
"{6419FBF5-2DB7-FF43-EE67-5448F868D080}" = Catalyst Control Center Core Implementation
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{66A405D2-BA14-4594-BF36-B3B544F0754E}" = Stronghold Legends
"{66B552F0-27A6-4BAA-8D23-A4CE9AFB8BF5}" = Vba65Installer
"{6CE93AD7-1548-4127-A203-ED55B1671B90}" = Warrior Kings - Battles
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{746F49C9-3789-4F8E-AF3A-3A4B42ACFAF8}" = Spellforce 2 Gold
"{7911C404-9AFA-4BB2-B9B7-E47423D87528}" = Knights Of Honor
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{7FD14A8A-FBCC-4442-ACAC-A0E9EC223AED}" = Europa Universalis - Rome
"{81E04A8B-C804-4886-FA79-0AD2BE946A06}" = Catalyst Control Center InstallProxy
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110111700}" = Zuma Deluxe
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11029123}" = Bricks of Egypt
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110322783}" = Big Kahuna Reef
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110411970}" = Chuzzle
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111118433}" = Mystery Case Files - Huntsville
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111199750}" = Cake Mania
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111252743}" = Mahjong Escape Ancient China
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111324990}" = Kick N Rush
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111543617}" = Backspin Billiards
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111692950}" = Mahjongg Artifacts
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111771833}" = Jewel Quest Solitaire
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111796363}" = Mystery Solitaire - Secret Island
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111872660}" = Diner Dash Flo on the Go
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112531267}" = Chicken Invaders 3
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112615863}" = Agatha Christie Death on the Nile
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112920767}" = Alice Greenfingers
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113009953}" = Turbo Pizza
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113080210}" = Azada
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9cc89170-000b-457d-91f1-53691f85b223}" = Python 2.6.1
"{9FA7B446-0DE0-C883-9DB4-AC9A35D60735}" = Catalyst Control Center HydraVision Full
"{A13D16C5-38A9-4D96-9647-59FCCAB12A85}" = Visual Basic for Applications (R) Core - English
"{A2433A63-5F5D-40E5-B529-9123C2B3E734}" = Anno 1701
"{A5633652-3795-4829-BB0B-644F0279E279}" = Acer eDataSecurity Management
"{A8CF5C37-8EC5-4C33-BB4A-87F468B77D45}" = Age of Empires III
"{AA4BF92B-2AAF-11DA-9D78-000129760D75}" = Acer HomeMedia
"{AB6097D9-D722-4987-BD9E-A076E2848EE2}" = Acer Empowering Technology
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{ACB91656-A3D1-4E5F-82F0-D3E5200F1D06}" = Skins
"{B145EC69-66F5-11D8-9D75-000129760D75}" = Acer DVDivine
"{B580C409-E16F-44FF-904D-3AE94E113BE0}" = Acer HomeMedia Trial Creator
"{BE3F7038-DC6F-F7B2-7850-97C6E5F05BB0}" = TeleTrader Professional
"{C0698BDA-0D29-40EE-8570-A31106DF9AB1}" = Medieval II Total War
"{C388D147-CCBA-411C-B9FC-2CC1B4EFB240}" = Pirates of the Caribbean
"{C3F7C6EB-B6AD-CE5E-46BD-E6DE8EBB6E5A}" = Catalyst Control Center Graphics Previews Vista
"{C43C1415-3DFC-4089-9A32-0BECF28A6046}" = Age of Empires III - The Asian Dynasties
"{C8E9FBF9-6CBE-AE9B-C8AB-2C8F5E32140C}" = ccc-core-static
"{CADDE354-C78C-46CB-A006-E2B178EFC271}" = Rise Of Legends
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBB1BA2C-34DB-5947-BFFF-F52E3A542514}" = ATI Catalyst Install Manager
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe  1.4.142.1
"{CE65A9A0-9686-45C6-9098-3C9543A412F0}" = Acer eSettings Management
"{D3B1C799-CB73-42DE-BA0F-2344793A095C}" = Catalyst Control Center - Branding
"{D462BF9E-0C35-4705-BF9B-3DF9F3816643}" = Acer ePerformance Management
"{D6B8ED44-CA4A-4702-924D-34596E5450DB}" = Crusader Kings
"{DDACB061-0C85-8A15-45C9-28415476762B}" = Catalyst Control Center Graphics Light
"{DF7B213D-2065-41ED-BB51-7A3EED31EA7B}" = Ultima Online: Mondain's Legacy
"{E182BF0C-B1C9-655A-0F65-1E511E8687AD}" = Catalyst Control Center Localization German
"{E56B8E1D-8E90-46DC-AE55-EBA87ED69A5F}" = Flat Trader
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E9E09EAA-0FF8-42A1-ACAB-67F2A691E50F}" = Guild 2 Patch
"{ECE1F718-CDFD-7A05-BDB9-4D33BFE67D9C}" = ccc-utility
"{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}" = Acer Arcade Live Main Page
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F20C1251-1D0A-4944-B2AE-678581B33B19}" = Neverwinter Nights 2
"{F6EFFB76-4A07-11DA-9D78-000129760D75}" = Acer DV Magician
"{F79A208D-D929-11D9-9D77-000129760D75}" = Acer VideoMagician
"{FB97C283-1F3C-42D4-AE01-ADC1DC12F774}" = Visual Basic for Applications (R) Core
"{FC123EEA-330A-4685-911C-95B8F5E9DE68}" = Thief - Deadly Shadows
"{FC5A7E9B-2CAC-6261-7F34-817C6547ABF3}" = Catalyst Control Center InstallProxy
"{FF39FC01-819B-42E4-AE49-1968AF12DDD4}" = Dawn of War - Dark Crusade
"7-Zip" = 7-Zip 4.63
"Acer GameZone Console_is1" = Acer GameZone Console DTV 2.0.1.1
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Age of Mythology 1.0" = Age of Mythology
"Age of Mythology Expansion Pack 1.0" = Age of Mythology - The Titans Expansion
"Age Of Pirates 1.41_is1" = Age of Pirates - Caribbean Tales 1.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS DVD Player_is1" = AVS DVD Player version 2.4
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.2
"Banished_is1" = Banished
"Colasoft Ping Tool 1.1_is1" = Colasoft Ping Tool 1.1
"Conan" = Conan
"Die Gilde 2 - Die Seeräuber der Hanse" = Die Gilde 2 - Die Seeräuber der Hanse
"foobar2000" = foobar2000 v0.9.6.1
"Free Download Manager_is1" = Free Download Manager 2.5
"ft_Transport Tycoon Deluxe" = Transport Tycoon Deluxe
"Glory of the Roman Empire" = Die Römer
"Google Desktop" = Google Desktop
"HijackThis" = HijackThis 2.0.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"InstallShield_{1598034D-7147-432C-8CA8-888E0632D124}" = NTI Backup NOW! 4.7
"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"InstallShield_{1C08A24C-B168-407E-A826-68FAF5F20710}" = Age of Empires III - The WarChiefs
"InstallShield_{A8CF5C37-8EC5-4C33-BB4A-87F468B77D45}" = Age of Empires III
"InstallShield_{C43C1415-3DFC-4089-9A32-0BECF28A6046}" = Age of Empires III - The Asian Dynasties
"InstallShield_{CADDE354-C78C-46CB-A006-E2B178EFC271}" = Rise Of Legends
"IsoBuster_is1" = IsoBuster 2.5.5
"Knights of The Temple II" = Knights of The Temple II
"Loki" = Loki
"Loki_is1" = Loki
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mount&Blade" = Mount&Blade
"MultiMon TaskBar_is1" = MultiMon TaskBar 2.1
"Night Watch" = Night Watch
"NVIDIA Drivers" = NVIDIA Drivers
"Oblivion mod manager_is1" = Oblivion mod manager 1.1.12
"OpenTTD" = OpenTTD 0.6.1
"PC Tools Firewall Plus" = PC Tools Firewall Plus 5.0
"ProtectDisc Driver 10" = ProtectDisc Helper Driver 10
"rayatitray" = Ray Adams ATI Tray Tools
"S.T.A.L.K.E.R. - Clear Sky_is1" = S.T.A.L.K.E.R. - Clear Sky
"S.T.A.L.K.E.R. - Shadow of Chernobyl_is1" = S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0006]
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamViewer 4" = TeamViewer 4
"The Bard's Tale" = The Bard's Tale
"TheGuild2" = Die Gilde 2
"VLC media player" = VLC media player 1.0.1
"Voyage Century Online_is1" = Voyage Century Online
"Xvid_is1" = Xvid 1.2.1 final uninstall

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3C6FDE86-A6D0-4322-900C-14D440F76C7B}" = VisualChart 5
"c467f97a5a092d3f" = ROM-Runecalc
"EasyTraderPro BETA Ver. 4.2 herausgegeben 05.07.2009" = EasyTraderPro BETA Ver. 4.2 herausgegeben 05.07.2009
"InstallShield_{E56B8E1D-8E90-46DC-AE55-EBA87ED69A5F}" = Flat Trader

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 07.01.2010 12:15:20 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 08.01.2010 04:24:43 | Computer Name = Jens-Uwes-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Flat Trader.exe, Version 2.11.4.12, Zeitstempel
0x2a425e19, fehlerhaftes Modul Qda.dll_unloaded, Version 0.0.0.0, Zeitstempel 0x48170238,
Ausnahmecode 0xc0000005, Fehleroffset 0x03657dd8,  Prozess-ID 0x1600, Anwendungsstartzeit
01ca8fb5e0e202c7.

Error - 08.01.2010 12:40:27 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 11.01.2010 12:52:17 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.01.2010 12:43:02 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 13.01.2010 04:37:08 | Computer Name = Jens-Uwes-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Flat Trader.exe, Version 2.11.4.12, Zeitstempel
0x2a425e19, fehlerhaftes Modul Qda.dll_unloaded, Version 0.0.0.0, Zeitstempel 0x48170238,
Ausnahmecode 0xc0000005, Fehleroffset 0x034c7dd8,  Prozess-ID 0x1094, Anwendungsstartzeit
01ca93d10940f08f.

Error - 13.01.2010 12:14:40 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 14.01.2010 12:01:07 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 15.01.2010 12:24:14 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

Error - 17.01.2010 16:52:24 | Computer Name = Jens-Uwes-PC | Source = WinMgmt | ID = 10
Description =

[ Media Center Events ]
Error - 20.11.2009 13:30:28 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 16.12.2009 18:09:09 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 19.12.2009 05:13:30 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 19.12.2009 05:49:39 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 19.12.2009 08:43:54 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 20.12.2009 09:12:44 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 27.12.2009 12:35:03 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 27.12.2009 15:52:24 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 02.01.2010 06:37:50 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


Error - 14.01.2010 16:45:20 | Computer Name = Jens-Uwes-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.TimerRecord failed; Win32
GetLastError returned 10000105  Prozess: DefaultDomain Objektname: Media Center Guide


[ System Events ]
Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4375
Description =

Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4375
Description =

Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4385
Description =

Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4375
Description =

Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4385
Description =

Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4375
Description =

Error - 20.01.2010 03:14:20 | Computer Name = Jens-Uwes-PC | Source = Microsoft-Windows-Servicing | ID = 4385
Description =

Error - 20.01.2010 03:37:08 | Computer Name = Jens-Uwes-PC | Source = HTTP | ID = 15016
Description =

Error - 20.01.2010 11:29:44 | Computer Name = Jens-Uwes-PC | Source = HTTP | ID = 15016
Description =

Error - 20.01.2010 15:02:50 | Computer Name = Jens-Uwes-PC | Source = HTTP | ID = 15016
Description =


< End of report >



2 ter Logfile.
Seitenanfang Seitenende
20.01.2010, 22:57
Moderator

Beiträge: 5694
#5 Schritt 1

Kommen immernoch Meldungen von Avira?

Schritt 2


Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung


• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während der Online-Scans deaktivieren:
Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.


.


Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.
• mit HJT folgenden Eintrag fixen:
• O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}



F-Secure Onlinescanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.Deinstallation
Firefox:
Addon über Extras => F-Secure deinstallieren.
Internet Explorer:
mit HJT folgenden Eintrag fixen:
O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)


Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

[color=red]Wichtig:[/color] Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
20.01.2010, 23:26
Member

Themenstarter

Beiträge: 27
#6 @ Swisstreasure: Habe vorhin mal durchlaufen lassen auch malwarebytes, keiner sagt jetzt mehr was von Malware, zumindestens bis jetzt, werds morgen nochmal durchscannen, evt. wars das ja wirklich und der müll ist weg !?!
Seitenanfang Seitenende
21.01.2010, 16:50
Member

Themenstarter

Beiträge: 27
#7 So, habe heute nen mehrstündiges malwarebytes komplettscan laufen lassen.
Den alten Trojaner hat er nicht mehr gefunden dafür zwei evt. falscheinträge, da steht Rogue.Crusader allerdings bezieht sich das auf 2 Dateien eines Spieles namens Crusader Kings (Issn altes Strategiespiel von Paradox Entertainment) was mich skeptisch macht ob dies wirklich echtalarme sind oder doch nur falschmeldungen ?

hänge mal den Log dazu an

Code



Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3603
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18865

21.01.2010 16:46:37
mbam-log-2010-01-21 (16-46-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 692685
Laufzeit: 2 hour(s), 25 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\Paradox Entertainment\Crusader Kings\Crusaders.exe (Rogue.Crusader) -> No action taken.
D:\ck_104a_ger.exe (Rogue.Crusader) -> No action taken.

Seitenanfang Seitenende
22.01.2010, 00:12
Moderator

Beiträge: 5694
#8 Das kann ich Dir nichr sagen. Die Dateien sagen mir nichts. Du kannst Sie bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.


Wo bleibt das GMER Log? ;)
Seitenanfang Seitenende
22.01.2010, 11:08
Member

Themenstarter

Beiträge: 27
#9 @ Swisstreasure: Gmer stürtzt bei mir immer ab, weisst du wie man das umgehen kann ?
Rec hner geht dann einfach ned mehr, weder Str Alt Entf noch sonstwas.
Antivir ist ausgeschaltet gewesen, Verbindung auch weg. Andere Virenprogramme laufen ned, soll ich Firewall auch ausschalten ?
Oder es im abgesicherten Modus probieren ?
Seitenanfang Seitenende
22.01.2010, 11:25
Member

Themenstarter

Beiträge: 27
#10 Wenn ich Firewall noch ausschalte geht er bis zu "ShadowCopy1" oder so ähnlich und dann stürtzt das programm mit "Reagiert nicht mehr" ab. Bis dahin war aber kein Roter Eintrag zu sehen, was auf Rootkits hinweist !?!
Seitenanfang Seitenende
22.01.2010, 12:54
Moderator

Beiträge: 5694
#11 Dann nehmen wir mal Rootrepeal:

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.
Seitenanfang Seitenende
22.01.2010, 13:07
Member

Themenstarter

Beiträge: 27
#12 Habe ich gemacht, da gab es 2 logs:

Code



ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/01/22 13:03
Program Version:        Version 1.3.5.0
Windows Version:        Windows Vista SP1
==================================================

Drivers
-------------------
Name: dump_diskdump.sys
Image Path: C:\Windows\System32\Drivers\dump_diskdump.sys
Address: 0x8E5EA000    Size: 40960    File Visible: No    Signed: -
Status: -

Name: dump_nvstor32.sys
Image Path: C:\Windows\System32\Drivers\dump_nvstor32.sys
Address: 0x8A779000    Size: 147456    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\Windows\system32\drivers\rootrepeal.sys
Address: 0x9D58C000    Size: 49152    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: Volume C:\
Status: MBR Rootkit Detected!

Path: Volume C:\, Sector 1
Status: Sector mismatch

Path: Volume C:\, Sector 2
Status: Sector mismatch

Path: Volume C:\, Sector 3
Status: Sector mismatch

Path: Volume C:\, Sector 4
Status: Sector mismatch

Path: Volume C:\, Sector 5
Status: Sector mismatch

Path: Volume C:\, Sector 6
Status: Sector mismatch

Path: Volume C:\, Sector 7
Status: Sector mismatch

Path: Volume C:\, Sector 8
Status: Sector mismatch

Path: Volume C:\, Sector 9
Status: Sector mismatch

Path: Volume C:\, Sector 10
Status: Sector mismatch

Path: Volume C:\, Sector 11
Status: Sector mismatch

Path: Volume C:\, Sector 12
Status: Sector mismatch

Path: Volume C:\, Sector 13
Status: Sector mismatch

Path: Volume C:\, Sector 14
Status: Sector mismatch

Path: Volume C:\, Sector 15
Status: Sector mismatch

Path: Volume C:\, Sector 16
Status: Sector mismatch

Path: Volume C:\, Sector 17
Status: Sector mismatch

Path: Volume C:\, Sector 18
Status: Sector mismatch

Path: Volume C:\, Sector 19
Status: Sector mismatch

Path: Volume C:\, Sector 20
Status: Sector mismatch

Path: Volume C:\, Sector 21
Status: Sector mismatch

Path: Volume C:\, Sector 22
Status: Sector mismatch

Path: Volume C:\, Sector 23
Status: Sector mismatch

Path: Volume C:\, Sector 24
Status: Sector mismatch

Path: Volume C:\, Sector 25
Status: Sector mismatch

Path: Volume C:\, Sector 26
Status: Sector mismatch

Path: Volume C:\, Sector 27
Status: Sector mismatch

Path: Volume C:\, Sector 28
Status: Sector mismatch

Path: Volume C:\, Sector 29
Status: Sector mismatch

Path: Volume C:\, Sector 30
Status: Sector mismatch

Path: Volume C:\, Sector 31
Status: Sector mismatch

Path: Volume C:\, Sector 32
Status: Sector mismatch

Path: Volume C:\, Sector 33
Status: Sector mismatch

Path: Volume C:\, Sector 34
Status: Sector mismatch

Path: Volume C:\, Sector 35
Status: Sector mismatch

Path: Volume C:\, Sector 36
Status: Sector mismatch

Path: Volume C:\, Sector 37
Status: Sector mismatch

Path: Volume C:\, Sector 38
Status: Sector mismatch

Path: Volume C:\, Sector 39
Status: Sector mismatch

Path: Volume C:\, Sector 40
Status: Sector mismatch

Path: Volume C:\, Sector 41
Status: Sector mismatch

Path: Volume C:\, Sector 42
Status: Sector mismatch

Path: Volume C:\, Sector 43
Status: Sector mismatch

Path: Volume C:\, Sector 44
Status: Sector mismatch

Path: Volume C:\, Sector 45
Status: Sector mismatch

Path: Volume C:\, Sector 46
Status: Sector mismatch

Path: Volume C:\, Sector 47
Status: Sector mismatch

Path: Volume C:\, Sector 48
Status: Sector mismatch

Path: Volume C:\, Sector 49
Status: Sector mismatch

Path: Volume C:\, Sector 50
Status: Sector mismatch

Path: Volume C:\, Sector 51
Status: Sector mismatch

Path: Volume C:\, Sector 52
Status: Sector mismatch

Path: Volume C:\, Sector 53
Status: Sector mismatch

Path: Volume C:\, Sector 54
Status: Sector mismatch

Path: Volume C:\, Sector 55
Status: Sector mismatch

Path: Volume C:\, Sector 56
Status: Sector mismatch

Path: Volume C:\, Sector 57
Status: Sector mismatch

Path: Volume C:\, Sector 58
Status: Sector mismatch

Path: Volume C:\, Sector 59
Status: Sector mismatch

Path: Volume C:\, Sector 60
Status: Sector mismatch

Path: Volume C:\, Sector 61
Status: Sector mismatch

Path: Volume C:\, Sector 62
Status: Sector mismatch

Processes
-------------------
Path: System
PID: 4    Status: Locked to the Windows API!

Path: C:\Windows\System32\audiodg.exe
PID: 1312    Status: Locked to the Windows API!

SSDT
-------------------
#: 018    Function Name: NtAllocateVirtualMemory
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6b94

#: 021    Function Name: NtAlpcConnectPort
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6516

#: 042    Function Name: NtAssignProcessToJobObject
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6586

#: 054    Function Name: NtConnectPort
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b65da

#: 060    Function Name: NtCreateFile
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6640

#: 072    Function Name: NtCreateProcess
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b672e

#: 073    Function Name: NtCreateProcessEx
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b67ba

#: 078    Function Name: NtCreateThread
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b684a

#: 116    Function Name: NtDebugActiveProcess
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6980

#: 129    Function Name: NtDuplicateObject
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b69d4

#: 165    Function Name: NtLoadDriver
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6a3a

#: 189    Function Name: NtOpenKey
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6a8c

#: 194    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0x9a3be8f8

#: 197    Function Name: NtOpenSection
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6ae4

#: 201    Function Name: NtOpenThread
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6b3c

#: 210    Function Name: NtProtectVirtualMemory
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6bfa

#: 282    Function Name: NtResumeThread
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6cb6

#: 286    Function Name: NtSecureConnectPort
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6d74

#: 324    Function Name: NtSetValueKey
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6d08

#: 330    Function Name: NtSuspendProcess
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6dde

#: 332    Function Name: NtSystemDebugControl
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6e30

#: 334    Function Name: NtTerminateProcess
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6e90

#: 358    Function Name: NtWriteVirtualMemory
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6ef4

#: 382    Function Name: NtCreateThreadEx
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b68ec

#: 383    Function Name: NtCreateUserProcess
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b66be

Stealth Objects
-------------------
Object: Hidden Code [Driver: USBSTOR, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x87657110    Size: 2073

Object: Hidden Code [Driver: nvstor32, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x862c80d8    Size: 121

Shadow SSDT
-------------------
#: 479    Function Name: NtUserMessageCall
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6f52

#: 497    Function Name: NtUserPostMessage
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b6fbe

#: 498    Function Name: NtUserPostThreadMessage
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b7022

#: 573    Function Name: NtUserSetWindowsHookEx
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b70f6

#: 576    Function Name: NtUserSetWinEventHook
Status: Hooked by "C:\Windows\system32\drivers\PCTAppEvent.sys" at address 0x9b1b7086

==EOF==



sieht hier aus wie so nen rootkit, wie kriege ich das jetzte wech ?

danach hat er mir dann aber gleich nen Error aqngezeigt mit folgender Meldung (Log)

Code



13:03:44: Unrecognized partition type 6 (0x6)!
13:03:48: Could not read system registry! Please contact the author!

Seitenanfang Seitenende
22.01.2010, 15:45
Moderator

Beiträge: 5694
#13 Nun kontrollieren wir den Master Boot Record,ob alles in Ordnung ist:
• Downloade die MBR.exe von Gmer und
• speichere das Programm auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.
Seitenanfang Seitenende
22.01.2010, 16:45
Member

Themenstarter

Beiträge: 27
#14 Da kam leider bloss nen kurzer Log :

Code


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




In dem vorherigen log sieht es so aus als wäre da was verkehrt, hat das was zu sagen ?
Seitenanfang Seitenende
23.01.2010, 17:06
Moderator

Beiträge: 5694
#15 Melde mich am Abend wieder ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »