Internet hängt sich auf!

#16 Fixen mit OTL



das Textdokument:




All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 174782540 bytes
->Temporary Internet Files folder emptied: 155068449 bytes
->Java cache emptied: 51626388 bytes
->FireFox cache emptied: 102305277 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11292300 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1919966 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32560266 bytes
RecycleBin emptied: 4080564 bytes

Total Files Cleaned = 509,00 mb


OTL by OldTimer - Version 3.1.27.0 log created on 01302010_112637

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

#17 Schritt 3



Dateisystem auf C: wird überprüft.
Der Typ des Dateisystems ist NTFS.


Einer der Datenträger muss auf Konsistenz überprüft werden.
Sie können die Datenträgerüberprüfung abbrechen, aber es
wird ausdrücklich empfohlen, den Vorgang fortzusetzen.
Die Datenträgerüberprüfung wird jetzt ausgeführt.
Fehler beim Lesen mit Status 0xc000009c bei Offset 0xc3230000 für 0x4000 Bytes.
Fehler beim Lesen mit Status 0xc000009c bei Offset 0xc3230000 für 0x4000 Bytes.
Der Indexeintrag AD0CFD~1.HTM von Index $I30 in der Datei 0x1b1a1 verweist auf die nicht verwendete Datei 0xff9.
Indexeintrag AD0CFD~1.HTM in Index $I30 der Datei 111009 wird

#18 Schritt 4





Scanning Report
Saturday, January 30, 2010 12:10:15 - 12:38:45

Computer name: HOME-PC
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\
17 malware found
TrackingCookie.Questionmarket (spyware)
System (Disinfected)
TrackingCookie.2o7 (spyware)
System (Disinfected)
TrackingCookie.Advertising (spyware)
System (Disinfected)
TrackingCookie.Atdmt (spyware)
System (Disinfected)
TrackingCookie.Adtech (spyware)
System (Disinfected)
TrackingCookie.Doubleclick (spyware)
System (Disinfected)
TrackingCookie.Zanox (spyware)
System (Disinfected)
TrackingCookie.Adrevolver (spyware)
System (Disinfected)
TrackingCookie.Adbrite (spyware)
System (Disinfected)
TrackingCookie.Webtrends (spyware)
System (Disinfected)
TrackingCookie.Mediaplex (spyware)
System (Disinfected)
TrackingCookie.Tradedoubler (spyware)
System (Disinfected)
TrackingCookie.Statcounter (spyware)
System (Disinfected)
TrackingCookie.Atwola (spyware)
System (Disinfected)
TrackingCookie.Yieldmanager (spyware)
System (Disinfected)
Trojan.Generic.1615645 (virus)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3D3ADCA8-D22E-4E1E-822D-4AB8FACC3DE7}\RP126\A0064696.EXE (Renamed & Submitted)
Trojan.Generic.1615645 (virus)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3D3ADCA8-D22E-4E1E-822D-4AB8FACC3DE7}\RP121\A0059622.EXE (Renamed & Submitted)
Statistics
Scanned:
Files: 24878
System: 3169
Not scanned: 8
Actions:
Disinfected: 15
Renamed: 2
Deleted: 0
Not cleaned: 0
Submitted: 2
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\ETILQS_UXAEMFXNFVU2RDUC0CDR
Options
Scanning engines:
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use advanced heuristics




muss ich das addon deinstallieren oder kanns draufbleiben?

#19 Welche Addon meinst Du?
Wie ich dachte hat er da irgend einen Fehler beim Ausführen von CHDSK.

Wie läuft das Inet zur Zeit?

#20 öhm es geht, bis jetz noch kein disconnect dankeschön

gibts noch andere probleme an meinem pc ??

#21 ich meinte das addon von schritt 4 aber egal habs schon deinstalliert

#22 Ja das kann wieder raus

Also dann bist Du entlassen

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"]CCleaner[/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Spenden:

Da häufig die Frage nach einer Spendenmöglichkeit auftaucht, hier ein kleiner Hinweis dazu: Wenn Dir unser Support gefallen hat und Du dazu beitragen möchtest, dass dieser kostenlose Service aufrecht erhalten wird, kannst Du das mit einer freiwilligen kleinen Spende an Protecus tun. Entscheidest Du Dich für einen Zustupf an meine Wenigkeit dann geht dies über dieses Pay-Pal Konto.

#23 dankeschön für die tipps,
und was war denn jetz eigentlich der grund dass mein internet immer ausgegangen ist?

#24 Also ich denke das die ASK Toolbar nicht so gut für Dein Inet war.

http://www.bleepingcomputer.com/uninstall/94/Ask-Toolbar.html

#25 oh man ey

jetz fängt das schon wieder an

hat nichts gebracht jetz hängt es sich schon wieder alle 15 minuten auf
woran kanns noch liegen?

#26 Dann wollen wir nochmals nachschauen

Schritt 1

• Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.
• mit HJT folgenden Eintrag fixen:
• O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}

Schritt 2

Bereinigung mit SDFix
• Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop.
• Sollte Dein Anti-Virus-Programm SDFix als schädlich melden, bitte ignorieren und trotzdem zulassen. Das kommt daher, dass Entfernungsprogramme oft ähnliche Routinen, wie die schädlichen Programme nutzen, um die Schädlinge zu entfernen.

• Dieses Removal-Tool ist zur Ausführung auf Windows 2000 und Windows XP im abgesicherten Modus geeignet.
• Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken.
• Starte den Computer neu in den abgesicherten Modus <= Hinweise beachten.
• Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Geduld, das kann ca. 20 Minuten dauern.
• Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst Du darum gebeten, einen Taste zu drücken, damit der Rechner neu starten kann.
• Drücke auf eine beliebige Taste.
• Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen.
• Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden.
• Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread.

Schritt 3

Rootkitscan mit F-Secure Blacklight

Lade dir F-Secure Blacklight herunter
• Installiere es in C:\Programme\Blacklight
• Trenne dich von Netz(W-Lan nicht vergessen)
• Deaktiviere alle laufenden Virenscanner etc
• Schließe alle offenen Programme und starte es durch klick auf die fsbl.exe
• Klicke auf i accept the agreement-->Next-->Scan
• nach dem Scan klicke auf Close
• Die Logfile fsbl.xxx.log wird unter dem Blacklight Verzeichnis gespeichert
• Bitte posten
AntiVir Programme einschalten nicht vergessen bevor du ins Netz gehst

Schritt 4

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

#27 also schritt 1 konnte ich nicht machen da ich opera benutze



Schritt 2





SDFix: Version 1.240
Run by Administrator on 01.02.2010 at 12:22

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-01 12:38:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:23,35,83,ed,98,f4,fa,ba,39,54,92,64,07,ad,aa,fe,99,c5,89,03,37,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:23,35,83,ed,98,f4,fa,ba,39,54,92,64,07,ad,aa,fe,99,c5,89,03,37,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Opera\\opera.exe"="C:\\Programme\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :



Files with Hidden Attributes :

Tue 21 Oct 2008 848 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 13 Nov 2009 444 ...HR --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!







nachdem ich schritt 2 ausgeführt hab kam eine problem meldung:

" Das system wird nach einem schwerwiegenden Fehler wieder ausgeführt "


C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\WER4440.dir00\Mini060309-01.dmp
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\WER4440.dir00\sysdata.xml

#28 Und geht Schritt 3?

#29 Schritt 3



02/01/10 13:01:03 [Info]: BlackLight Engine 1.0.67 initialized
02/01/10 13:01:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/01/10 13:01:03 [Note]: 7019 4
02/01/10 13:01:03 [Note]: 7005 0
02/01/10 13:01:20 [Note]: 7006 0
02/01/10 13:01:20 [Note]: 7011 1740
02/01/10 13:01:20 [Note]: 7026 0
02/01/10 13:01:20 [Note]: 7026 0
02/01/10 13:01:21 [Note]: FSRAW library version 1.7.1024
02/01/10 13:15:14 [Note]: 7007 0

#30 Schritt 4


Extras.txt

Code

OTL Extras logfile created on: 01.02.2010 13:20:24 - Run 2
OTL by OldTimer - Version 3.1.27.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 550,00 Mb Available Physical Memory | 54,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 179,35 Gb Free Space | 77,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: HOME-PC
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001EA15-EB73-CA02-7A7B-E3438A729496}" = CCC Help Chinese Traditional
"{000DCD2A-B125-C7E3-4E4B-B2CA4AF59F5C}" = Catalyst Control Center Localization Japanese
"{0253657F-15DE-D63B-EEC6-EC9C2DB6ED99}" = Catalyst Control Center Localization French
"{0396C722-C173-E4E1-2317-F9627A991A69}" = CCC Help Italian
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{097C8139-ACD7-C597-6B48-EF3A76E3D9ED}" = Catalyst Control Center Graphics Previews Common
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1D2990D9-D55A-A353-3E4C-8A16EF5AEF48}" = CCC Help Danish
"{1E637941-893D-0523-75DA-B819EE322777}" = Catalyst Control Center Localization Hungarian
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{2672C542-9FAE-73E5-98D6-AE2A9D9E8526}" = Catalyst Control Center Localization Chinese Traditional
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{270AE038-537A-34D1-A8BA-FDA3192D24F1}" = Catalyst Control Center Graphics Full New
"{2808E975-BD01-47DD-9852-54E3C622BDDC}" = WLAN Monitor
"{287CB051-FE7A-4BBE-03BA-1BD7E64FC02E}" = Catalyst Control Center Localization Turkish
"{2E93623C-116B-4DF7-EC81-0AC12F91E832}" = CCC Help Dutch
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36CDA33B-909B-4719-97D1-C4B99309BDC7}" = ATI Parental Control & Encoder
"{3AC6F9EB-6095-27C2-3658-79A250AAF539}" = ccc-utility
"{3BACA4DF-B24A-4424-8640-60600F877596}" = Multi-Browser XP (Trial)
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HYDRAVISION
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{425A51C9-7B77-6E3E-0071-F2BFE1A26E7D}" = Catalyst Control Center Localization Thai
"{45A07241-27B5-EA62-84EF-1AA9947AB97A}" = Catalyst Control Center Localization Chinese Standard
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{54F2A643-5869-DA55-95B0-0D3425D04317}" = Catalyst Control Center Core Implementation
"{56A82A34-589B-5E0A-299A-32F3FB768DE3}" = CCC Help German
"{5981F17F-2D82-DCE8-A6D8-3CD98566A7C7}" = Catalyst Control Center Localization Spanish
"{5B0A2BD7-97B0-C735-EE8C-AF8FE33BEBB3}" = CCC Help Japanese
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{65C3550A-E7AA-7E5F-3B6F-DEB41B67E498}" = CCC Help Spanish
"{68DEF773-38C0-7C03-68B3-A83C4D6B7AB4}" = Catalyst Control Center Localization Polish
"{69F58907-4000-66B1-BFEC-1753EEF87483}" = CCC Help Czech
"{6AF97052-A211-39E4-0B17-ADF97EF7B10C}" = Skins
"{6BB86889-A176-453A-4CA7-D7D19C805742}" = CCC Help Hungarian
"{6E505B16-965A-F83F-542F-BA9E570538B2}" = Catalyst Control Center Localization Greek
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{71B3882A-9ECA-DD99-FD0F-B465CDA0A973}" = CCC Help French
"{71D50383-123D-0628-B5D7-D56809F1CECB}" = Catalyst Control Center Localization Finnish
"{72D88BB0-B7C3-F870-FD48-1BA0C67AB29A}" = CCC Help English
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7C3EFD2E-04B5-5F76-9B39-55752A958F5A}" = Catalyst Control Center Localization Russian
"{7D010B73-7022-7148-F2FC-512752259F60}" = CCC Help Chinese Standard
"{8027BBE0-09D6-E06A-0D1B-2002472F515A}" = Catalyst Control Center Localization Dutch
"{80A97464-A741-44B0-8AD6-0C16B1FEF7F6}" = Norton Security Scan
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{8740BFC3-537F-BE44-3656-B2155D6FD4D4}" = Catalyst Control Center Localization Portuguese
"{88514B02-CBDA-A85C-79E3-935FF9FC2BA3}" = CCC Help Korean
"{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8E65E8B8-1453-B790-167F-B9A2ADA784F4}" = Catalyst Control Center Localization Danish
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{99ECA89F-2BCC-7943-EAC7-BAEA66EAAC3B}" = CCC Help Russian
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9E43E415-013E-EB75-A43A-2A07BB233FEA}" = CCC Help Finnish
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A325087B-F9DE-AB6B-6A2B-F3383BBFE8F1}" = CCC Help Polish
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A58EC715-3EE6-40B5-48A5-78660276D6A5}" = CCC Help Greek
"{A7DADFA1-EBD8-7A89-FFD1-3A87688EA546}" = Catalyst Control Center Localization Norwegian
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB045E8B-9AFD-FE56-492E-85A4DDD8F40D}" = CCC Help Thai
"{AC5D89AC-9C8E-B1FF-0056-8FEEAE43CC0E}" = Catalyst Control Center Localization Italian
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.1 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B18B7659-5A82-6201-F0C0-EFFB01443A98}" = ccc-core-static
"{B4064426-52F9-B46D-86FE-56A2EA687827}" = CCC Help Turkish
"{B41F1668-74CA-530D-F427-C92B792632A4}" = ccc-core-preinstall
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BDA54FEA-DE82-AB65-8A24-02E06341274C}" = CCC Help Norwegian
"{C084BC61-E537-11DE-8616-005056806466}" = Google Earth
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C628FCCC-AB41-9BCE-BABB-7C5C562E7E0C}" = CCC Help Swedish
"{CEAB014C-3BEB-92FA-639B-28006A9C276B}" = Catalyst Control Center Graphics Full Existing
"{D8E56968-D4F3-9714-997D-D9A6D487EA82}" = Catalyst Control Center Graphics Light
"{DD98F970-3660-D396-58BA-826BD95E14CF}" = CCC Help Portuguese
"{DFF713A0-2001-9F1C-80A7-2122AED58A51}" = Catalyst Control Center Localization Swedish
"{E40268F4-7E9F-4E07-B773-7FF64971F42E}" = WLAN Quick-Starter
"{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F1FA40A7-4CB5-05BE-BE87-79B0192E9D31}" = Catalyst Control Center Localization German
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{F9BE4236-E49F-80FE-EFA1-3A34E06F7099}" = Catalyst Control Center Localization Czech
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FB8148DD-C575-4B0A-9F6C-0CFC46937930}" = Opera 10.10
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"{FD79569A-C407-7B06-0F36-EDD57FCB2DC3}" = Catalyst Control Center Localization Korean
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CSS FULL DZ [Oct 15 2007]" = CSS FULL DZ [Oct 15 2007] v18.1
"Free Studio_is1" = Free Studio version 4.2
"Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.1
"free-downloads.net Toolbar" = free-downloads.net Toolbar
"HijackThis" = HijackThis 2.0.2
"HWiNFO32_is1" = HWiNFO32 Version 2.20
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.2
"Winamp" = Winamp (remove only)
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"World of Warcraft" = World of Warcraft
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Warcraft III" = Warcraft III: All Products
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 01.11.2009 18:09:23 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 01.11.2009 18:13:05 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 11.11.2009 06:18:05 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 13.11.2009 09:18:06 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 15.12.2009 16:18:05 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 22.12.2009 07:56:02 | Computer Name = HOME-PC | Source = Avira AntiVir | ID = 4109
Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 9
 
Error - 22.12.2009 08:41:02 | Computer Name = HOME-PC | Source = Avira AntiVir | ID = 4109
Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 9
 
Error - 23.12.2009 20:18:05 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 26.01.2010 18:18:06 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
Error - 28.01.2010 20:18:10 | Computer Name = HOME-PC | Source = Google Update | ID = 20
Description = 
 
[ System Events ]
Error - 01.02.2010 07:21:09 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 01.02.2010 07:21:09 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 01.02.2010 07:21:09 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPv6-Hilfsdienst" ist vom Dienst "Microsoft IPv6-Protokolltreiber"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 01.02.2010 07:21:09 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 01.02.2010 07:21:09 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK8  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip  Tcpip6
 
Error - 01.02.2010 07:38:32 | Computer Name = HOME-PC | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Automatische Updates" wurde nicht ordnungsgemäß gestartet.
 
Error - 01.02.2010 07:41:36 | Computer Name = HOME-PC | Source = System Error | ID = 1003
Description = Fehlercode 100000ea, 1. Parameter 862a4380, 2. Parameter 85c71950,
 3. Parameter f7a0bcb4, 4. Parameter 00000001.
 
Error - 01.02.2010 07:45:46 | Computer Name = HOME-PC | Source = System Error | ID = 1003
Description = Fehlercode 10000050, 1. Parameter c7ae86af, 2. Parameter 00000001,
 3. Parameter f606cc82, 4. Parameter 00000000.
 
Error - 01.02.2010 07:45:48 | Computer Name = HOME-PC | Source = System Error | ID = 1003
Description = Fehlercode 100000d1, 1. Parameter 00000004, 2. Parameter 00000002,
 3. Parameter 00000000, 4. Parameter f731f335.
 
Error - 01.02.2010 07:47:59 | Computer Name = HOME-PC | Source = System Error | ID = 1003
Description = Fehlercode 100000d1, 1. Parameter 00000004, 2. Parameter 00000002,
 3. Parameter 00000000, 4. Parameter f731f335.
 
 
< End of report >