Explorer hat ein Problem festgestellt und muss geschlossen werden

#1 Hallo Zusammen


Ich hatte auf meinem Laptop die Symptome, dass mein Explorer andauernd geschlossen werden musste.

Ich habe danach das Kochrezept von Sabina durchgearbeitet (herzlichen Dank an dieser Stelle) und ein Nest von Trojanern gefunden, trotz aktivem Virenscanner. Jetzt wo ich alles entfernt habe, würde ich gerne wissen ob noch Rückstände vorhanden sind, oder mein Laptop nun wieder sicher ist (siehe dazu die Logberichte unten)?

Zweite Frage, wie kann man diese Angriffe verhindern (mein aktiver Virenscanner ist AVG free, bietet die kostenpflichtige Version tatsächlich mehr Schutz)?

Dritte Frage, ist es wahrscheinlich, dass Passwörter bereits ausgespäht wurden?

Log-Files sind zusammengefasst im Anhang.


Beste Grüsse

Matthias

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:
• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.

• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.

Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer
herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->

Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

#3 Danke für die schnelle Antwort. Hier die OTL logs.

Code

OTL logfile created on: 26.03.2010 12:00:54 - Run 1
OTL by OldTimer - Version 3.1.37.3     Folder = C:\Users\Matthias\Desktop
Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 45.00% Memory free
4.00 Gb Paging File | 3.00 Gb Available in Paging File | 73.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 222.88 Gb Total Space | 194.09 Gb Free Space | 87.08% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MOBILPORT
Current User Name: Matthias
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Users\Matthias\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AVG\AVG8\avgtray.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Vokabeltrainer 5\Vokabeltrainer.exe (Langenscheidt)
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\AVG\AVG8\avgnsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG8\avgrsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG8\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Programme\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
PRC - C:\Programme\Acer\Acer VCM\AcerVCM.exe (Acer Incorporated)
PRC - C:\Programme\Acer\Acer VCM\RS_Service.exe (Acer Incorporated)
PRC - C:\Windows\System32\IgfxExt.exe (Intel Corporation)
PRC - C:\Windows\System32\PersistenceThread.exe (Intel Corporation)
PRC - C:\Programme\ShrewSoft\VPN Client\dtpd.exe ()
PRC - C:\Programme\ShrewSoft\VPN Client\iked.exe ()
PRC - C:\Programme\ShrewSoft\VPN Client\ipsecd.exe ()
PRC - C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
PRC - C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Cisco Systems, Inc.)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Users\Matthias\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (avg8wd) -- C:\Programme\AVG\AVG8\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (btwdins) -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
SRV - (RS_Service) -- C:\Programme\Acer\Acer VCM\RS_Service.exe (Acer Incorporated)
SRV - (dtpd) -- C:\Program Files\ShrewSoft\VPN Client\dtpd.exe ()
SRV - (iked) -- C:\Program Files\ShrewSoft\VPN Client\iked.exe ()
SRV - (ipsecd) -- C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe ()
SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (AvgTdiX) -- C:\Windows\System32\Drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgLdx86) -- C:\Windows\System32\Drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgMfx86) -- C:\Windows\System32\Drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (RTL8169) -- C:\Windows\System32\drivers\Rtlh86.sys (Realtek                                            )
DRV - (DKbFltr) -- C:\Windows\System32\drivers\DKbFltr.sys (Dritek System Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.)
DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (Synaptics Incorporated)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (igd) -- C:\Windows\System32\drivers\igdkmd32.sys (Intel Corporation)
DRV - (vflt) -- C:\Windows\System32\drivers\vfilter.sys (Shrew Soft Inc)
DRV - (vnet) -- C:\Windows\System32\drivers\virtualnet.sys (Shrew Soft Inc)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&s=2&o=vb32&d=0909&m=ao751h
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&s=2&o=vb32&d=0909&m=ao751h
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&s=2&o=vb32&d=0909&m=ao751h
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://global.acer.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://global.acer.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&s=2&o=vb32&d=0909&m=ao751h
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,XMLHTTP_UUID_Default = CA E8 41 00 76 76 6D 48 B7 76 94 A6 88 CA 44 9A  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.startup.homepage: "http://www.google.ch/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3
FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:8.5.0.429
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Program Files\AVG\AVG8\Firefox [2010.01.13 15:19:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.03.16 14:31:51 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.03.19 14:49:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 0.9\extensions\\Components: C:\Program Files\Mozilla Sunbird\components [2010.03.03 17:08:49 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 0.9\extensions\\Plugins: C:\Program Files\Mozilla Sunbird\plugins
 
[2009.09.12 11:17:29 | 000,000,000 | ---D | M] -- C:\Users\Matthias\AppData\Roaming\mozilla\Extensions
[2010.03.26 11:19:15 | 000,000,000 | ---D | M] -- C:\Users\Matthias\AppData\Roaming\mozilla\Firefox\Profiles\rlot6slj.default\extensions
[2010.02.09 10:55:09 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Matthias\AppData\Roaming\mozilla\Firefox\Profiles\rlot6slj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.03.03 17:09:11 | 000,000,000 | ---D | M] -- C:\Users\Matthias\AppData\Roaming\mozilla\Sunbird\Profiles\80jyx5b1.default\extensions
[2010.03.25 09:12:47 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.16 14:31:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.16 14:31:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.16 14:31:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.16 14:31:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.16 14:31:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (HelperObject Class) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll (TechSmith Corporation)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll (TechSmith Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [AVG8_TRAY] C:\Programme\AVG\AVG8\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [IgfxExt] C:\Windows\System32\IgfxExt.exe (Intel Corporation)
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe ()
O4 - HKLM..\Run: [PersistenceThread] C:\Windows\System32\PersistenceThread.exe (Intel Corporation)
O4 - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe File not found
O4 - HKLM..\Run: [RemoteControl8] C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 130.60.128.3 130.60.64.51
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (avgrsstx.dll) - C:\Windows\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.)
O20 - AppInit_DLLs: (C:\Windows\System32\catsrvut32.dll) - C:\Windows\System32\catsrvut32.dll File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Matthias\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Matthias\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.03.26 11:58:43 | 000,555,520 | ---- | C] (OldTimer Tools) -- C:\Users\Matthias\Desktop\OTL.exe
[2010.03.25 16:07:35 | 000,000,000 | ---D | C] -- C:\Users\Matthias\Desktop\tut5data
[2010.03.25 09:20:12 | 000,000,000 | ---D | C] -- C:\Users\Matthias\Desktop\Computerwartung
[2010.03.25 08:49:23 | 000,000,000 | ---D | C] -- C:\Users\Matthias\AppData\Roaming\Malwarebytes
[2010.03.25 08:49:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.03.25 08:49:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.03.25 08:49:07 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.03.25 08:49:07 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.03.25 08:23:49 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.03.24 17:49:46 | 000,181,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2010.03.23 20:35:09 | 000,000,000 | ---D | C] -- C:\Users\Matthias\Desktop\Vizepräsidentenamt
[2010.03.20 19:07:19 | 000,000,000 | ---D | C] -- C:\Users\Matthias\Desktop\L&E
[2010.03.19 18:21:04 | 000,000,000 | ---D | C] -- C:\Users\Matthias\Desktop\STATA_9.1_Win
[2010.03.19 17:23:31 | 000,000,000 | ---D | C] -- C:\Users\Matthias\AppData\Roaming\WinRAR
[2010.03.19 17:23:30 | 000,000,000 | -HSD | C] -- C:\ProgramData\SysWoW32
[2010.03.19 16:02:41 | 000,000,000 | -HSD | C] -- C:\System Volume Data
[2010.03.19 15:18:14 | 000,000,000 | ---D | C] -- C:\Users\Matthias\AppData\Roaming\Cabos
[2010.03.19 15:12:51 | 000,000,000 | ---D | C] -- C:\Programme\Cabos
[2010.03.19 15:04:15 | 000,000,000 | ---D | C] -- C:\Sun
[2010.03.19 14:52:42 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2010.03.19 14:51:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2010.03.19 14:51:30 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java
[2010.03.19 14:49:41 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deploytk.dll
[2010.03.19 14:49:41 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.03.19 14:49:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.03.19 14:49:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.03.19 14:48:30 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.03.19 14:00:22 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\browserchoice.exe
[2010.03.03 17:09:17 | 000,000,000 | ---D | C] -- C:\Users\Matthias\AppData\Roaming\Talkback
[2010.03.03 17:08:43 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Sunbird
[2010.03.02 10:12:38 | 000,000,000 | ---D | C] -- C:\Programme\FileZilla FTP Client
[2010.03.02 10:11:46 | 000,000,000 | ---D | C] -- C:\Users\Matthias\AppData\Roaming\FileZilla
[2009.05.07 03:58:02 | 000,049,152 | ---- | C] ( ) -- C:\Windows\Interop.IWshRuntimeLibrary.dll
[4 C:\Users\Matthias\AppData\Roaming\*.tmp files -> C:\Users\Matthias\AppData\Roaming\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.03.26 12:12:57 | 002,359,296 | -HS- | M] () -- C:\Users\Matthias\NTUSER.DAT
[2010.03.26 11:59:22 | 000,555,520 | ---- | M] (OldTimer Tools) -- C:\Users\Matthias\Desktop\OTL.exe
[2010.03.26 11:53:01 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.03.26 11:26:59 | 000,001,355 | ---- | M] () -- C:\Users\Matthias\Desktop\mbam-log-2010-03-26 (08-04-19) Laptop (Total Scan)
[2010.03.26 08:09:16 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.03.26 08:09:16 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.03.26 08:08:47 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.03.26 08:08:24 | 2137,255,936 | -HS- | M] () -- C:\hiberfil.sys
[2010.03.26 08:07:18 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2010.03.26 08:07:11 | 000,524,288 | -HS- | M] () -- C:\Users\Matthias\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001.regtrans-ms
[2010.03.26 08:07:11 | 000,065,536 | -HS- | M] () -- C:\Users\Matthias\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TM.blf
[2010.03.26 08:07:09 | 006,291,456 | -H-- | M] () -- C:\Users\Matthias\AppData\Local\IconCache.db
[2010.03.25 15:48:41 | 000,057,338 | ---- | M] () -- C:\Users\Matthias\Desktop\tut5.pdf
[2010.03.25 13:58:33 | 000,177,216 | ---- | M] () -- C:\Users\Matthias\Desktop\v5_s.pdf
[2010.03.25 09:14:10 | 000,003,634 | -HS- | M] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854P.manifest
[2010.03.25 09:13:49 | 000,000,817 | ---- | M] () -- C:\ProgramData\1626900999
[2010.03.25 08:49:17 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.25 08:23:53 | 000,001,878 | ---- | M] () -- C:\Users\Matthias\Desktop\HijackThis.lnk
[2010.03.25 08:15:41 | 000,000,020 | ---- | M] () -- C:\Users\Matthias\AppData\Roaming\30788d00
[2010.03.25 08:12:58 | 057,644,995 | ---- | M] () -- C:\Windows\System32\drivers\Avg\incavi.avm
[2010.03.25 08:07:29 | 000,000,715 | -HS- | M] () -- C:\ProgramData\816372311
[2010.03.25 08:07:18 | 000,000,051 | -HS- | M] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854C.manifest
[2010.03.25 08:07:17 | 000,000,011 | -HS- | M] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854S.manifest
[2010.03.25 08:07:17 | 000,000,011 | -HS- | M] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854O.manifest
[2010.03.24 17:49:21 | 000,002,565 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
[2010.03.24 17:49:12 | 000,008,224 | ---- | M] () -- C:\Windows\System32\GDIPFONTCACHEV1.DAT
[2010.03.23 23:26:37 | 000,000,168 | ---- | M] () -- C:\Users\Matthias\AppData\Roaming\5b4f599e
[2010.03.23 21:11:25 | 000,005,478 | ---- | M] () -- C:\Users\Matthias\AppData\Roaming\Cabos.plist
[2010.03.19 16:02:50 | 000,203,776 | -HS- | M] () -- C:\ProgramData\unrar.exe
[2010.03.19 14:48:47 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.03.19 14:48:47 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.03.19 14:48:46 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\deploytk.dll
[2010.03.19 14:48:46 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.03.19 14:06:07 | 000,000,240 | ---- | M] () -- C:\Windows\win.ini
[2010.03.09 15:37:08 | 000,026,624 | ---- | M] () -- C:\Users\Matthias\Documents\L & E Working Protocol.doc
[2010.03.05 18:38:06 | 000,296,624 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.03.03 11:40:42 | 000,071,136 | ---- | M] () -- C:\Users\Matthias\AppData\Local\GDIPFONTCACHEV1.DAT
[2010.02.28 20:14:04 | 000,010,240 | ---- | M] () -- C:\Users\Matthias\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.28 19:54:56 | 000,001,828 | ---- | M] () -- C:\Users\Matthias\Desktop\Semester 10 - Verknüpfung.lnk
[2010.02.28 19:33:04 | 000,001,412 | ---- | M] () -- C:\Users\Matthias\Desktop\HOMESERVER - Verknüpfung.lnk
[4 C:\Users\Matthias\AppData\Roaming\*.tmp files -> C:\Users\Matthias\AppData\Roaming\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.03.26 11:26:42 | 000,001,355 | ---- | C] () -- C:\Users\Matthias\Desktop\mbam-log-2010-03-26 (08-04-19) Laptop (Total Scan)
[2010.03.25 15:48:41 | 000,057,338 | ---- | C] () -- C:\Users\Matthias\Desktop\tut5.pdf
[2010.03.25 13:58:33 | 000,177,216 | ---- | C] () -- C:\Users\Matthias\Desktop\v5_s.pdf
[2010.03.25 08:49:17 | 000,000,822 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.25 08:23:53 | 000,001,878 | ---- | C] () -- C:\Users\Matthias\Desktop\HijackThis.lnk
[2010.03.25 08:15:41 | 000,000,020 | ---- | C] () -- C:\Users\Matthias\AppData\Roaming\30788d00
[2010.03.19 17:24:02 | 000,000,715 | -HS- | C] () -- C:\ProgramData\816372311
[2010.03.19 16:03:30 | 000,000,817 | ---- | C] () -- C:\ProgramData\1626900999
[2010.03.19 16:02:50 | 000,203,776 | -HS- | C] () -- C:\ProgramData\unrar.exe
[2010.03.19 16:02:42 | 000,000,168 | ---- | C] () -- C:\Users\Matthias\AppData\Roaming\5b4f599e
[2010.03.19 16:02:33 | 000,003,634 | -HS- | C] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854P.manifest
[2010.03.19 16:02:33 | 000,000,051 | -HS- | C] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854C.manifest
[2010.03.19 16:02:33 | 000,000,011 | -HS- | C] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854S.manifest
[2010.03.19 16:02:33 | 000,000,011 | -HS- | C] () -- C:\Users\Matthias\AppData\Roaming\02000000b26abdde854O.manifest
[2010.03.19 14:45:02 | 000,005,478 | ---- | C] () -- C:\Users\Matthias\AppData\Roaming\Cabos.plist
[2010.03.09 14:26:19 | 000,026,624 | ---- | C] () -- C:\Users\Matthias\Documents\L & E Working Protocol.doc
[2010.02.28 19:54:56 | 000,001,828 | ---- | C] () -- C:\Users\Matthias\Desktop\Semester 10 - Verknüpfung.lnk
[2010.02.28 19:33:04 | 000,001,412 | ---- | C] () -- C:\Users\Matthias\Desktop\HOMESERVER - Verknüpfung.lnk
[2009.11.30 20:15:34 | 000,000,500 | ---- | C] () -- C:\Users\Matthias\AppData\Roaming\wklnhst.dat
[2009.09.16 10:27:52 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009.09.12 14:13:24 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009.09.12 13:52:21 | 000,010,240 | ---- | C] () -- C:\Users\Matthias\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.12 11:36:35 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.09.11 19:27:20 | 000,626,688 | ---- | C] () -- C:\Windows\Image.dll
[2009.08.03 14:07:42 | 000,403,816 | ---- | C] () -- C:\Windows\System32\OGACheckControl.dll
[2009.05.06 21:09:55 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.05.06 21:07:29 | 000,004,685 | ---- | C] () -- C:\Windows\System32\lpgun.ini
[2008.08.29 12:58:26 | 000,197,408 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\Windows\System32\OUTLPERF.INI
 
[color=#E56717]========== Alternate Data Streams ==========[/color]
 
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:4D066AD2
< End of report >

Und der Log "Extras"

Code

OTL Extras logfile created on: 26.03.2010 12:00:54 - Run 1
OTL by OldTimer - Version 3.1.37.3     Folder = C:\Users\Matthias\Desktop
Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 45.00% Memory free
4.00 Gb Paging File | 3.00 Gb Available in Paging File | 73.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 222.88 Gb Total Space | 194.09 Gb Free Space | 87.08% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MOBILPORT
Current User Name: Matthias
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "C:\Program Files\MediaMonkey\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "C:\Program Files\MediaMonkey\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "C:\Program Files\MediaMonkey\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
 
[color=#E56717]========== Vista Active Open Ports Exception List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{090B8BF4-E16C-4524-9B8E-955B839488DB}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{151495C3-3CB8-4EA6-AA58-44F8ACAE00D5}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{1D18150F-7174-4D68-9AFC-9DBF00605674}" = rport=138 | protocol=17 | dir=out | app=system | 
"{1E35608B-5D84-474D-A746-48F92C35C59C}" = rport=139 | protocol=6 | dir=out | app=system | 
"{21530BA9-3433-4CBC-94A9-4587BE662B8A}" = lport=138 | protocol=17 | dir=in | app=system | 
"{2ADC0A48-43C2-4295-8BD6-4E56FD967478}" = rport=137 | protocol=17 | dir=out | app=system | 
"{2F7FE317-3536-45B2-9251-65560F91B002}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{322685F0-B02B-4BF8-9787-613E332FA147}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{3B83073A-06B5-4E2F-ABBE-D4C77C41CBD1}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{404D0319-DE70-4872-856E-2AB8FD2EC7C5}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{474BCB7D-219F-4D82-85B1-D38410972DAB}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{49DF7A0A-91C0-4A52-B5EE-443D3D793104}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{5A972579-2248-4129-8311-B17F5621DA77}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{5C257CCA-B1F0-4C32-BC59-D57A9F8C9914}" = rport=445 | protocol=6 | dir=out | app=system | 
"{6A399DC7-8302-4BC5-98DB-882F598481BC}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{6DC2778D-3F8C-48AC-AB5E-762FCC2DE469}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{71C33D0D-49B0-458B-AAEC-AD7350CBC319}" = lport=139 | protocol=6 | dir=in | app=system | 
"{75EAEC6B-3633-4261-9821-46645AD4402C}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{9FBF4272-8182-43AA-93F2-6DE0A68EA088}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{A42F5A51-C425-4E30-836B-B960C674F375}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{A6E47996-E79B-448C-A047-725BDF8BB4FA}" = lport=445 | protocol=6 | dir=in | app=system | 
"{A71CEEBE-F7A7-4C26-93A5-020A4E9FE895}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{C496A818-D4C0-401F-BD9A-F91CDA0C2213}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{C80C2A7F-5AD2-4DB7-A23F-1CFA57400473}" = lport=137 | protocol=17 | dir=in | app=system | 
"{D5AB180F-B6EC-4CB8-BB2E-725DF0042475}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{DB632241-E1A6-4686-8F48-AE3B12D28D2C}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{E1D79342-33DF-4FED-9142-8D15780F4A64}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{F60966B2-5756-425D-81F0-A0AB313D0B10}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{FA21C183-128C-4CEA-B07E-FA789CA37BB2}" = lport=2869 | protocol=6 | dir=in | app=system | 
 
[color=#E56717]========== Vista Active Application Exception List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0114FDD0-3FA0-4922-9A03-B73BACECF97F}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{29F0133C-2705-4C73-9681-0FDD520A4DCF}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{2D716035-BABB-44F5-8895-8FC1C43F4019}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{31145F07-7341-4BE6-9BA1-50F55E7E2EB5}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe | 
"{40D215BB-7B12-423A-AC7B-F89DD6A91CAD}" = dir=in | app=c:\program files\avg\avg8\avgupd.exe | 
"{47140B6F-138E-4DAA-A736-D34992CC5C01}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{494D774D-FBD7-42E6-8B3A-BEB394353853}" = dir=in | app=c:\program files\acer\acer vcm\rs_service.exe | 
"{4B861A32-DD04-4BA9-B022-CE02D173E6B3}" = dir=in | app=c:\program files\acer\acer vcm\vc.exe | 
"{4C7E04A6-4149-4840-B165-45D77098C0B9}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{4DF6BA82-9B23-4952-B6D1-EA4B281DDAF4}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{6B8F43C1-53A3-4388-A6DB-DEB136C7030E}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{6C58EED8-8796-4C4E-A675-BDEACA14FB0D}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{73B26FBA-B761-45C7-B025-1E3756139EC5}" = dir=in | app=c:\program files\cyberlink\powerdvd8\powerdvd8.exe | 
"{77BE3E79-6E80-4212-8F05-80BBD9E2F270}" = dir=in | app=c:\windows\explorer.exe | 
"{7A837994-816B-436D-A9EF-488961C19F88}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{7ACC6E87-8C12-4adb-91B7-EFC3F2F4705A}" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"{85DC4A4C-45F2-4021-8E02-FAB6044A265E}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{8FD21B14-5A19-49E5-B109-E2AD84CC5B2F}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{92459C5E-D350-4cba-AA74-C8F989C9336F}" = protocol=17 | dir=out | app=c:\windows\explorer.exe | 
"{93F4BC6A-9A4F-4060-AB6C-5C0FB7303E9E}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{9430FBCF-D8E2-4DCF-9AE3-F85EF910CCF2}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe | 
"{9896205F-F6C2-4A4E-92AD-5BC7D633F01A}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{9E1D95AA-6096-4703-AF62-B1A43037C37B}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{A1F9B435-CE9E-4555-BE2E-8CA323B0A804}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{B078B2B6-A878-44ff-9BCC-458257924F96}" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"{B158B781-B567-4567-8686-C9F8CA932E19}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{B1A40E4F-58DB-490f-9D18-55B5194E8BD5}" = protocol=6 | dir=out | app=c:\windows\explorer.exe | 
"{BFDC0465-B27B-4ECE-A35C-27106E03BDF3}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{C1CAC5A5-67FB-4E45-8EF5-99C6092DC8E9}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{C3E9B20A-B7E2-4aab-9835-3C548937E46F}" = dir=out | app=c:\windows\explorer.exe | 
"{CFA786C6-3E2E-431F-B866-C5DC7AE50006}" = dir=in | app=c:\program files\avg\avg8\avgnsx.exe | 
"{E5783B8C-C702-4603-AC34-628C1CA3331C}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe | 
"{EE7093E7-3FF9-41DE-A213-0980289C5A76}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{F265A098-6288-451D-8E70-897186C2F7A7}" = protocol=6 | dir=out | app=system | 
"TCP Query User{6918183B-CCF2-4CE1-B21F-804F360949BF}C:\windows\system32\java.exe" = protocol=6 | dir=in | app=c:\windows\system32\java.exe | 
"TCP Query User{7D86B0F8-FDCC-451C-A59A-7B70E324E8B0}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{932B3905-596A-498A-B7A6-6455935E824A}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{FF4C6E38-765B-4D1A-901C-5362769513B4}C:\users\matthias\appdata\local\temp\j2eesdk-1_4_03-windows.exe2\package\jre\bin\javaw.exe" = protocol=6 | dir=in | app=c:\users\matthias\appdata\local\temp\j2eesdk-1_4_03-windows.exe2\package\jre\bin\javaw.exe | 
"UDP Query User{3513E23B-6AA5-44CD-BA32-946FD30B33DF}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{673584EE-D049-4FE8-9223-0F5FFB7EB262}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{AB6CFF88-C9E2-4394-9735-E11B4E7B03CD}C:\users\matthias\appdata\local\temp\j2eesdk-1_4_03-windows.exe2\package\jre\bin\javaw.exe" = protocol=17 | dir=in | app=c:\users\matthias\appdata\local\temp\j2eesdk-1_4_03-windows.exe2\package\jre\bin\javaw.exe | 
"UDP Query User{E9E7EFAF-1AEF-40BE-9D42-61E06B882B3D}C:\windows\system32\java.exe" = protocol=17 | dir=in | app=c:\windows\system32\java.exe | 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{047F790A-7A2A-4B6A-AD02-38092BA63DAC}" = Acer VCM
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3F4BA3A2-7BE0-48EA-B4BC-CA4D842A409A}" = Cisco EAP-FAST Module
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{4360BB46-507E-4361-8DCB-4FF9BDC9907B}" = SnagIt 7
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6675C262-A7BD-4C09-9C7F-77168A871D95}" = Vokabeltrainer-Update 5.0.3
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8136 8168 8169 Ethernet Driver
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{91E30407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{934B3B19-8193-467A-B356-E73F82647D38}" = Cisco LEAP Module
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = WIDCOMM Bluetooth Software
"{A77255C4-AFCB-44A3-BF0F-2091A71FFD9E}" = Acer Crystal Eye webcam 2.2.0.2
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BAD1449B-DF0C-4118-B76D-68C54009576C}" = Cisco PEAP Module
"{C5098CA3-ED54-40E7-964A-B73E11AADB2A}" = Langenscheidt Vokabeltrainer 5.0 Englisch
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D27928E5-C1A2-47B1-9834-6191D3AC34CE}" = Cabos
"{DA20E1A8-07CB-4EE7-9B72-A7E28C953F0E}" = Acer Product Registration
"{DC24971E-1946-445D-8A82-CE685433FA7D}" = Realtek USB 2.0 Card Reader
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"Acer Screensaver" = Acer ScreenSaver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AVG8Uninstall" = AVG Free 8.5
"FileZilla Client" = FileZilla Client 3.3.2
"HijackThis" = HijackThis 2.0.2
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"LManager" = Launch Manager
"LPCO" = Intel(R) Graphics Media Accelerator 500
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaMonkey_is1" = MediaMonkey 3.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Mozilla Sunbird (0.9)" = Mozilla Sunbird (0.9)
"PDFAnnotator_is1" = PDF Annotator 2.0.0.260
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"WinLiveSuite_Wave3" = Windows Live Essentials
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 03.02.2010 05:41:40 | Computer Name = MobilPort | Source = WinMgmt | ID = 10
Description = 
 
Error - 03.02.2010 09:18:16 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 03.02.2010 09:18:17 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 03.02.2010 11:53:29 | Computer Name = MobilPort | Source = WinMgmt | ID = 10
Description = 
 
Error - 04.02.2010 04:25:53 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 04.02.2010 04:26:04 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 04.02.2010 04:26:04 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 04.02.2010 04:27:56 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 04.02.2010 04:27:57 | Computer Name = MobilPort | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 06.02.2010 06:33:15 | Computer Name = MobilPort | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 23.11.2009 09:10:59 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.72 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 23.11.2009 15:12:12 | Computer Name = MobilPort | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
 für die Netzwerkkarte mit der Netzwerkadresse 00242C608E72 zugeteilt werden. Der
 folgende Fehler ist aufgetreten:   %%258. Es wird weiterhin im Hintergrund versucht,
 eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
Error - 24.11.2009 04:59:31 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.37 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 1.2.3.4 abgelehnt (der DHCP-Server hat
 eine DHCPNACK-Meldung gesendet).
 
Error - 24.11.2009 07:49:46 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 10.129.243.173 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat
 eine DHCPNACK-Meldung gesendet).
 
Error - 24.11.2009 12:41:17 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 172.30.51.90 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat
 eine DHCPNACK-Meldung gesendet).
 
Error - 25.11.2009 04:52:20 | Computer Name = MobilPort | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 24.11.2009 um 22:46:04 unerwartet heruntergefahren.
 
Error - 25.11.2009 04:52:46 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.37 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat
 eine DHCPNACK-Meldung gesendet).
 
Error - 25.11.2009 09:58:59 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 172.30.51.90 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat
 eine DHCPNACK-Meldung gesendet).
 
Error - 27.11.2009 09:48:22 | Computer Name = MobilPort | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.37 für die Netzwerkkarte mit der Netzwerkadresse
 00242C608E72 wurde durch den DHCP-Server 1.1.1.1 abgelehnt (der DHCP-Server hat
 eine DHCPNACK-Meldung gesendet).
 
Error - 27.11.2009 10:51:33 | Computer Name = MobilPort | Source = DCOM | ID = 10010
Description = 
 
 
< End of report >

#4 Schritt 1

Filesharing

Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.

Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren

Zitat

Cabos

Schritt 2

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:dir
C:\ProgramData\816372311 /s
C:\ProgramData\1626900999 /s
C:\Users\Matthias\AppData\Roaming\5b4f599e /s

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.



Schritt 3

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O20 - AppInit_DLLs: (C:\Windows\System32\catsrvut32.dll) - C:\Windows\System32\catsrvut32.dll File not found
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread


Schritt 4

Mach bitte noch folgende Onlinescans: FSecure, Bitdefender, ESET

#5

Code

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 19:44 on 26/03/2010 by Matthias (Administrator - Elevation successful)

========== dir ==========

C:\ProgramData\816372311 - Unable to find folder.

C:\ProgramData\1626900999 - Unable to find folder.

C:\Users\Matthias\AppData\Roaming\5b4f599e - Unable to find folder.

-=End Of File=-

Code

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\Windows\System32\catsrvut32.dll deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 117407 bytes
->Temporary Internet Files folder emptied: 78547 bytes
->Flash cache emptied: 75 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Matthias
->Temp folder emptied: 1306927533 bytes
->Temporary Internet Files folder emptied: 17314837 bytes
->Java cache emptied: 2025 bytes
->FireFox cache emptied: 49594502 bytes
->Flash cache emptied: 3441 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17165711 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1'327.00 mb
 
Error: Unable to interpret <Quelle: http://board.protecus.de/t39368.htm#ixzz0jJGzUM5d> in the current context!
 
OTL by OldTimer - Version 3.1.37.3 log created on 03262010_194702

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

#6 Wo bleibt Schritt 2?

#7 Hallo Swisstreasure

Also folgendes: Schritt 2 habe ich noch oben eingefügt, Schritt 4 hatte ich noch am laufen.

Bitdefender

Bei 40% musste der Browser geschlossen werden, unerwarteter Fehler (IE & MF)

F-Secure in IE

Code

Scanbericht
Samstag, März 27, 2010 08:16:10 - 08:33:25

Name des Computers: MOBILPORT
Scantyp: Quick-Scan
Ziel: System
2 Malware gefunden
TrackingCookie.2o7 (Spyware)

    * System (Desinfiziert) 

TrackingCookie.Doubleclick (Spyware)

    * System (Desinfiziert) 

Statistik
Gescannt:

    * Dateien: 3387
    * System: 3387
    * Nicht gescannt: 0 

Aktionen:

    * Desinfiziert: 2
    * Umbenannt: 0
    * Gelöscht: 0
    * Nicht bereinigt: 0
    * Übermittelt: 0 

Optionen
Scan-Engines:

ESET

Eset hat nichts gefunden.

#8 Hast Du denn zur Zeit noch Probleme?

#9 Ne die Symptome sind verschwunden.

Meine zweite Frage zu beginn des Threads konnte ich mir beantworten.

Die dritte Fräge wäre noch interessant zu wissen. (Ist es wahrschenilich, dass Passwörter ausgepäht wurden)?

#10 Ich denke nich dass aufgrund diese Infektion Daten ausspioiert wurden. Aber nach einer Infektion rate ich immer alle Passwörter die wichtig sind (Ebanking, MSN, Facebook, PayPal...) zu ändern. Hier noch einige wichtige Tips:

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.


Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich CCleaner. CCleaner (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende