Services.exe hat eine ZU hohe CPU Auslastung

#16 Hier ist es:

bearbeite jetzt die anderen Punkte.


ComboFix 10-07-01.02 - XY 02.07.2010 19:30:22.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1514 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Emsisoft Anti-Malware *On-access scanning disabled* (Outdated) {0F8591BB-342B-4493-91C3-4E948ED21255}
.

((((((((((((((((((((((( Dateien erstellt von 2010-06-02 bis 2010-07-02 ))))))))))))))))))))))))))))))
.

2010-07-02 12:49 . 2010-07-02 12:49 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-07-02 09:52 . 2010-07-02 09:52 -------- d-----w- c:\programme\Windows Media Connect 2
2010-07-01 17:01 . 2010-07-01 17:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-07-01 17:01 . 2010-07-01 17:00 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-01 16:16 . 2010-07-01 16:16 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-07-01 13:11 . 2010-07-01 13:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-06-23 23:07 . 2010-06-24 09:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-02 17:32 . 2004-11-11 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat
2010-07-02 17:32 . 2004-11-11 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat
2010-07-02 09:49 . 2009-06-09 12:53 -------- d-----w- c:\programme\Windows Media Connect
2010-07-01 21:09 . 2009-06-09 12:50 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-01 17:00 . 2009-06-09 13:23 -------- d-----w- c:\programme\Java
2010-06-29 18:08 . 2010-04-07 23:37 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-05-27 11:42 . 2009-06-28 21:44 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2010-05-10 14:57 . 2009-06-09 14:14 -------- d-----w- c:\programme\RocketDock
2010-04-29 13:39 . 2010-04-06 12:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-06 12:06 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 17:07 . 2010-04-28 17:07 23 --sha-w- c:\windows\system32\edacded0.dat
2010-04-15 15:43 . 2010-04-15 15:43 73000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-15 15:38 . 2010-04-15 15:38 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.22.7\SetupAdmin.exe
2010-04-15 14:57 . 2010-04-15 14:58 29480 ----a-w- c:\windows\system32\msxml3a.dll
2010-04-15 14:57 . 2010-04-15 14:57 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}\PostBuild.exe
2010-04-15 14:57 . 2009-06-09 15:54 505128 ----a-w- c:\windows\system32\msvcp71.dll
2010-04-14 22:35 . 2010-04-14 22:35 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-04-14 22:35 . 2010-04-15 09:22 15880 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-07-01_21.15.00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-02 17:27 . 2010-07-02 17:27 16384 c:\windows\Temp\Perflib_Perfdata_7f0.dat
+ 2008-10-16 12:09 . 2009-08-06 17:24 44768 c:\windows\system32\wups2.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 35552 c:\windows\system32\wups.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 53472 c:\windows\system32\wuauclt.exe
+ 2004-11-11 12:00 . 2006-11-03 07:56 99840 c:\windows\system32\wmpshell.dll
+ 2010-07-02 09:54 . 2006-09-25 15:58 14640 c:\windows\system32\spmsg.dll
+ 2010-07-02 09:36 . 2009-08-06 17:24 44768 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2010-07-02 09:36 . 2009-08-06 17:24 35552 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
- 2004-11-11 12:00 . 2010-07-01 21:07 71060 c:\windows\system32\perfc009.dat
+ 2004-11-11 12:00 . 2010-07-02 17:32 71060 c:\windows\system32\perfc009.dat
+ 2009-06-09 12:49 . 2009-08-06 17:24 35552 c:\windows\system32\dllcache\wups.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 53472 c:\windows\system32\dllcache\wuauclt.exe
+ 2004-11-11 12:00 . 2006-11-03 07:56 99840 c:\windows\system32\dllcache\wmpshell.dll
+ 2009-06-09 12:49 . 2006-11-03 07:56 64000 c:\windows\system32\dllcache\wmplayer.exe
+ 2009-06-09 12:49 . 2006-11-03 07:56 96256 c:\windows\system32\dllcache\wmpband.dll
+ 2004-11-11 12:00 . 2009-08-06 17:24 96480 c:\windows\system32\dllcache\cdm.dll
+ 2004-11-11 12:00 . 2009-08-06 17:24 96480 c:\windows\system32\cdm.dll
+ 2004-11-11 12:00 . 2006-11-03 07:54 8192 c:\windows\system32\dllcache\asferror.dll
+ 2004-11-11 12:00 . 2006-11-03 07:54 8192 c:\windows\system32\asferror.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 209632 c:\windows\system32\wuweb.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 327896 c:\windows\system32\wucltui.dll
+ 2009-06-09 12:49 . 2009-08-06 17:23 575704 c:\windows\system32\wuapi.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 204288 c:\windows\system32\wmpsrcwp.dll
+ 2006-10-18 19:47 . 2006-10-18 19:47 130048 c:\windows\system32\wmpps.dll
+ 2006-10-18 19:47 . 2006-10-18 19:47 613376 c:\windows\system32\wmpmde.dll
+ 2006-10-18 19:47 . 2006-10-18 19:47 295936 c:\windows\system32\wmpeffects.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 314880 c:\windows\system32\wmpdxm.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 242688 c:\windows\system32\wmpasf.dll
+ 2004-11-11 12:00 . 2006-11-03 07:55 275968 c:\windows\system32\wmerror.dll
+ 2004-11-11 12:00 . 2010-07-02 17:32 441124 c:\windows\system32\perfh009.dat
- 2004-11-11 12:00 . 2010-07-01 21:07 441124 c:\windows\system32\perfh009.dat
+ 2006-10-02 13:28 . 2006-10-02 13:28 312128 c:\windows\system32\msdelta.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 209632 c:\windows\system32\dllcache\wuweb.dll
+ 2009-06-09 12:49 . 2009-08-06 17:24 327896 c:\windows\system32\dllcache\wucltui.dll
+ 2009-06-09 12:49 . 2009-08-06 17:23 575704 c:\windows\system32\dllcache\wuapi.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 314880 c:\windows\system32\dllcache\wmpdxm.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 242688 c:\windows\system32\dllcache\wmpasf.dll
+ 2004-11-11 12:00 . 2006-11-03 07:55 275968 c:\windows\system32\dllcache\wmerror.dll
+ 2004-11-11 12:00 . 2006-11-03 07:55 316928 c:\windows\system32\dllcache\unregmp2.exe
+ 2009-06-09 12:49 . 2006-11-03 07:54 243712 c:\windows\system32\dllcache\mpvis.dll
+ 2004-11-11 12:00 . 2006-11-03 07:55 316928 c:\windows\inf\unregmp2.exe
+ 2009-06-09 12:49 . 2009-08-06 17:23 1929952 c:\windows\system32\wuaueng.dll
+ 2004-11-11 12:00 . 2006-11-03 08:02 8282112 c:\windows\system32\wmploc.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 1661440 c:\windows\system32\wmpencen.dll
+ 2009-06-09 12:49 . 2009-08-06 17:23 1929952 c:\windows\system32\dllcache\wuaueng.dll
+ 2004-11-11 12:00 . 2006-11-03 08:02 8282112 c:\windows\system32\dllcache\wmploc.dll
+ 2009-06-09 12:49 . 2006-11-03 08:02 1678848 c:\windows\system32\dllcache\setup_wm.exe
+ 2004-11-11 12:00 . 2006-10-18 19:47 10834432 c:\windows\system32\wmp.dll
+ 2004-11-11 12:00 . 2006-10-18 19:47 10834432 c:\windows\system32\dllcache\wmp.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2010-02-10 01:34 750256 ----a-w- c:\programme\kikin\ie_kikin.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="c:\programme\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 36352]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-01 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-11 67072]
"RemoteControl10"="d:\programme\Cyberlink\PowerDVD10\PDVD10Serv.exe" [2010-02-02 87336]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
"Ocs_SM"="c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe" [2009-07-29 102400]
"nwiz"="nwiz.exe" [2006-04-01 1495040]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-01 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-01 7110656]
"iTunesHelper"="d:\musik\iTunes\iTunesHelper.exe" [2010-03-25 142120]
"HD Tune"="c:\progra~1\HDTUNE~1\HDTune.exe" [2008-02-09 401408]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2005-10-18 1560576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2009-6-9 651264]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Games\\Empire Earth - Zeitalter der Eroberungen\\EE-AOC.exe"=
"c:\\Games\\Empire Earth\\Empire Earth.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"d:\\Programme\\ICQ\\ICQ 6.5\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Spiele\\Anno 1701 (RIP, English)\\dm-a1701\\Anno 1701\\Anno1701.exe"=
"d:\\Spiele\\Pro Evolution Soccer 2010\\pes2010.exe"=
"d:\\Spiele\\Counter-Strike 1.6\\hl.exe"=
"c:\\Games\\Siedler 2\\bin\\S2DNG.exe"=
"d:\\Spiele\\Age Of Empires\\Empires.exe"=
"d:\\Musik\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [15.04.2010 00:35 64288]
R2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2010/04/15 17:00];d:\programme\Cyberlink\PowerDVD10\NavFilter\000.fcl [13.03.2010 12:58 87536]
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;d:\programme\Emsisoft\Emsisoft Anti-Malware\a2service.exe [20.05.2010 20:57 1911960]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.06.2009 16:07 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1265264]
R2 SearchAnonymizer;SearchAnonymizer;c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [29.07.2009 19:30 40960]
R3 a2acc;a2acc;d:\programme\Emsisoft\Emsisoft Anti-Malware\a2accx86.sys [20.05.2010 20:57 71008]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.06.2009 17:53 264704]
S0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [11.11.2004 14:00 75904]
S2 gupdate1c9f9a749ac593a;Google Update Service (gupdate1c9f9a749ac593a);c:\programme\Google\Update\GoogleUpdate.exe [30.06.2009 19:22 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
.
Inhalt des "geplante Tasks" Ordners

2010-07-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 22:34]

2009-06-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb0cc44fb0f8b4.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-30 17:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l8yj2ldk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: d:\musik\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-02 19:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x893B978A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28
\Driver\ACPI -> ACPI.sys @ 0xf75adcb8
\Driver\atapi -> ntoskrnl.exe @ 0x805c7a1e
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
NDIS: AVM FRITZ!WLAN USB Stick -> SendCompleteHandler -> 0x8941fac0
PacketIndicateHandler -> NDIS.sys @ 0xf788ca21
SendHandler -> NDIS.sys @ 0xf786a87b
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\d:\programme\Cyberlink\PowerDVD10\NavFilter\000.fcl"
.
Zeit der Fertigstellung: 2010-07-02 19:40:38
ComboFix-quarantined-files.txt 2010-07-02 17:40
ComboFix2.txt 2010-07-01 21:17

Vor Suchlauf: 12 Verzeichnis(se), 138.162.810.880 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 138.160.631.808 Bytes frei

- - End Of File - - 50E24291417B22B69A34E5CE215DCE02

#17 Das hier ist das Ergebnis aus Schritt 2 (2 Option):

Das stand im Dos-Fenster:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Administrator>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\Dokumente und Einstellungen\Administrator>



Soll ich das Fenster jetzt schließen? Weil mehr passiert da nicht?

#18 So, ich habe das Dos-Fenster geschlossen.

Wenn ich mit Doppelklick auf RootRepeal klicke, kommt diese Fehlermeldung:

"RootRepeal Error"


"Attempt to read from address: 0x01167000"



Also, dasselbe wie beim ersten Versuch

#19 Sieht dennoch schon sehr gut aus. Sind die Probleme mit der Auslastung noch vorhanden?

• Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.
• mit HJT folgenden Eintrag fixen:
• O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}

#20 Ich glaube es ist schon etwas besser geworden, aber ein paar laggs sind noch da. Aber schon mal großes Dankeschön!

hier das Eset-Log:


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=c375b19c9d97184cb4238d530a773159
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-03 03:33:51
# local_time=2010-07-03 05:33:51 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 5658851 5658851 0 0
# compatibility_mode=1797 16775125 100 100 756954 53643186 30770 0
# compatibility_mode=8192 67108863 100 0 346 346 0 0
# scanned=6898
# found=0
# cleaned=0
# scan_time=154
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=c375b19c9d97184cb4238d530a773159
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-03 12:38:52
# local_time=2010-07-03 02:38:52 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 5686699 5686699 0 0
# compatibility_mode=1797 16775125 100 100 784802 53671034 58618 0
# compatibility_mode=8192 67108863 100 0 28194 28194 0 0
# scanned=179606
# found=0
# cleaned=0
# scan_time=5012

#21 Zitat:
"• mit HJT folgenden Eintrag fixen:
• O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}
"

Wie mache ich das?
Wenn ich HJT öffne und einen Scan mache, finde ich diesen Eintrag (O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}) nicht.

#22 Lass das mit dem fixen Das hat sich geändert

Schritt 1

System mit Windows-eigenen Mitteln bereinigen


Datenträger bereinigen


• Start => ausführen => cleanmgr (reinschreiben) => OK
• Wähle das zu bereinigende Laufwerk aus => OK
• "Datenträger bereinigen"-Fenster öffnet sich. Es wird berechnet, wieviel Platz freigemacht werden kann.
• Es öffnet sich das Fenster mit den zu löschenden Dateien.
• Bei den zu löschenden Bereichen einen Haken machen.
• Vergewissere Dich, dass Temporary Files, Temporary Internet Files und Papierkorb geleert werden => OK



Temporäre Ordner bereinigen

• Start => ausführen => temp (reinschreiben) => OK
• Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt von C:\Windows\Temp gelöscht
• START => ausführen => %temp% (reinschreiben) => OK
• Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt der temporären Dateien Deines Benutzerkontos gelöscht.



IE Cache leeren

• Start => Systemsteuerung => Internetoptionen
• Reiter Allgemein => Browserverlauf => löschen
• Temporäre Internetdateien, Cookies und Verlauf löschen



Firefox Cache leeren

• Firefox starten => Extras => Einstellungen
• Erweitert => Netzwerk => Bei Offline-Speicher auf Jetzt leeren klicken
• Firefox beenden.



Temporäre Java-Dateien löschen

• Schließe alle Browser
• Öffne Start => Systemsteuerung => Java
• Unter dem Reiter "Allgemein" => Temporäre Internet-Dateien
• Einstellungen => Dateien löschen => OK


Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung.

Schritt 2

F-Secure Onlinescanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
• Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
• Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.Deinstallation
• Firefox:
Addon über Extras => F-Secure deinstallieren.
• Internet Explorer:
mit HJT folgenden Eintrag fixen:
O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)

Schritt 3

Rootkitsuche mit Avira AntiRootkit

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.

#23 Bei "Temporäre Ordner bereinigen" bleibt bei beiden (temp und %temp%) ein bzw. zwei Dateien übrig, die ich nicht löschen kann, obwohl alles geschlossen ist.

Den Scan mache ich dann morgen.

#24 F-Secure-Log:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"><html><HEAD><title> Online Scanner - Scanning Report - Sunday, July 4, 2010 12:25:08</title><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></HEAD><BODY><FONT style="FONT: 10pt verdana; COLOR: black"><H1><FONT face=Arial>Scanning Report</FONT></H1>

<H2><FONT face=Arial>Sunday, July 4, 2010 11:03:46 - 12:25:08</FONT></H2>

<P>Computer name: WINDOWSPC</BR>

Scanning type: Scan system for malware, spyware and rootkits</BR>

Target: C:\ D:\ </P>

<HR NOSHADE><H2><FONT color=#5a6ed2 face=Arial>No malware found</H2></FONT><HR NOSHADE>

<H2><FONT color=#5a6ed2 face=Arial>Statistics</FONT></H2>Scanned:

<UL>

<LI>Files: 134533

<LI>System: 5076

<LI>Not scanned: 8

</UL>

Actions:

<UL>

<LI>Disinfected: 0

<LI>Renamed: 0

<LI>Deleted: 0

<LI>Not cleaned: 0

<LI>Submitted: 0

</UL>

Files not scanned:<UL>

<LI>C:\PAGEFILE.SYS

<LI>C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

<LI>C:\WINDOWS\SYSTEM32\CONFIG\SAM

<LI>C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

<LI>C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

<LI>C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

<LI>C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_XY\212

<LI>C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_XY\2068

</UL>

<HR NOSHADE>

<H2><FONT color=#5a6ed2 face=Arial>Options</FONT></H2>

Scanning engines:

<UL>

</UL>

Scanning options:

<UL>

<LI>Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR <LI>Use advanced heuristics</UL>

<HR NOSHADE>

<UL>

<H6>Copyright &copy; 1998-2009<A HREF=http://support.f-secure.com/> Product support</A> | <A HREF=http://support.f-secure.com//enu/home/virusproblem/sample/> Send virus sample to F-Secure</A></H6><H6>

F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name. This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.



</H6></UL>

</FONT></BODY></html>

#25 Hier der Avira Log:


Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
- Scan started Sonntag, 4. Juli 2010 - 17:09:44
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 146.48 GB
- Working disk free size : 128.30 GB (87 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/192258
Registry items: 0/246607
Processes: 0/55
Scan time: 00:14:13
--------------------------------------------------------------------------------------------------------
Active processes:
- wqdkvxxo.exe (PID 3328) (Avira AntiRootkit Tool)
- plugin-container.exe (PID 4072)
- System (PID 4)
- smss.exe (PID 564)
- csrss.exe (PID 780)
- winlogon.exe (PID 804)
- services.exe (PID 848)
- lsass.exe (PID 860)
- svchost.exe (PID 1020)
- svchost.exe (PID 1080)
- svchost.exe (PID 1136)
- svchost.exe (PID 1188)
- svchost.exe (PID 1256)
- AAWService.exe (PID 1272)
- spoolsv.exe (PID 1328)
- sched.exe (PID 1368)
- svchost.exe (PID 1412)
- a2service.exe (PID 1500)
- avguard.exe (PID 1552)
- AppleMobileDeviceService.exe (PID 1564)
- IGDCTRL.EXE (PID 1588)
- explorer.exe (PID 1816)
- WLanNetService.exe (PID 1864)
- GoogleUpdate.exe (PID 176)
- svchost.exe (PID 188)
- jqs.exe (PID 216)
- MDM.EXE (PID 428)
- nvsvc32.exe (PID 456)
- SearchAnonymizerHelper.exe (PID 696)
- SOUNDMAN.EXE (PID 1784)
- PDVD10Serv.exe (PID 2100)
- QTTask.exe (PID 2140)
- SearchAnonymizer.exe (PID 2256)
- rundll32.exe (PID 2284)
- iTunesHelper.exe (PID 2316)
- HDTune.exe (PID 2328)
- WLanGUI.exe (PID 2364)
- avgnt.exe (PID 2372)
- AdobeARM.exe (PID 2416)
- jusched.exe (PID 2436)
- VisualTaskTips.exe (PID 2460)
- GoogleToolbarNotifier.exe (PID 2468)
- StCenter.exe (PID 2568)
- SSScheduler.exe (PID 2596)
- unsecapp.exe (PID 3188)
- wmiprvse.exe (PID 3504)
- iPodService.exe (PID 3540)
- alg.exe (PID 3580)
- opera.exe (PID 704)
- wuauclt.exe (PID 1508)
- ICQ Away Reader.exe (PID 2240)
- ICQ.exe (PID 2772)
- AAWTray.exe (PID 3204)
- firefox.exe (PID 212)
- avirarkd.exe (PID 3656)
========================================================================================================
- Scan finished Sonntag, 4. Juli 2010 - 17:23:57
========================================================================================================

#26 Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Wie läufts?

#27 So, hier die beiden Logs und zu der Frage "Wie läufts?" kann ich nur sagen, dass es deutlich! besser und flüssiger geht! Danke!

Code

 OTL logfile created on: 04.07.2010 23:18:56 - Run 2
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 41,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 146,48 Gb Total Space | 128,71 Gb Free Space | 87,87% Space Free | Partition Type: NTFS
Drive D: | 151,61 Gb Total Space | 91,21 Gb Free Space | 60,16% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: WINDOWSPC
Current User Name: XY
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
PRC - C:\WINDOWS\SoftwareDistribution\Download\Install\NDP30SP2-KB982168-x86.exe (Microsoft Corporation)
PRC - D:\Programme\Emsisoft\Emsisoft Anti-Malware\a2service.exe (Emsi Software GmbH)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - c:\8b678fd31b536b580b5015ab\HotFixInstaller.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - D:\Programme\Cyberlink\PowerDVD10\PDVD10Serv.exe (CyberLink Corp.)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - D:\Programme\ICQ\ICQ 6.5\ICQ6.5\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - D:\Programme\ICQ\ICQ AwayReader\ICQ Away Reader\ICQ Away Reader.exe (murb.com)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Opera\opera.exe (Opera Software)
PRC - \\?\C:\WINDOWS\System32\WBEM\WMIADAP.EXE ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\VisualTaskTips\VisualTaskTips.exe (VisualTaskTips.com)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM GmbH Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\netui1.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netui0.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\ntlanman.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netrap.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\davclnt.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\drprov.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\Programme\VisualTaskTips\VttHooks.dll ()
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (a2AntiMalware) -- D:\Programme\Emsisoft\Emsisoft Anti-Malware\a2service.exe (Emsi Software GmbH)
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (SearchAnonymizer) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe ()
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (a2acc) -- D:\Programme\Emsisoft\Emsisoft Anti-Malware\a2accx86.sys (Emsi Software GmbH)
DRV - ({1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}) -- D:\Programme\Cyberlink\PowerDVD10\NavFilter\000.fcl (CyberLink Corp.)
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)
DRV - (viasraid) -- C:\WINDOWS\system32\drivers\viasraid.sys (VIA Technologies inc,.ltd)
DRV - (viaagp1) -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (ViaIde) -- C:\WINDOWS\system32\DRIVERS\viaidexp.sys (VIA Technologies, Inc.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.startup.homepage: "http://www.google.de"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20100503
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.29 21:50:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.04 22:27:32 | 000,000,000 | ---D | M]
 
[2010.04.06 14:23:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.07.04 17:05:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l8yj2ldk.default\extensions
[2010.06.29 21:14:52 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l8yj2ldk.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2010.06.29 20:08:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l8yj2ldk.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.07.04 17:05:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.01 19:01:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.07.01 19:00:52 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.06.26 10:03:55 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.26 10:03:55 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.26 10:03:55 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.26 10:03:55 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.26 10:03:55 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.01 23:14:52 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O2 - BHO: (kikin Plugin) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll (kikin)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM GmbH Berlin)
O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [HD Tune] C:\Programme\HD Tune\HDTune.exe (EFD Software)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe ()
O4 - HKLM..\Run: [RemoteControl10] D:\Programme\Cyberlink\PowerDVD10\PDVD10Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKCU..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe (VisualTaskTips.com)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll (kikin)
O9 - Extra Button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -  File not found
O9 - Extra 'Tools' menuitem : Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -  File not found
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ 6.5\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ 6.5\ICQ6.5\ICQ.exe (ICQ, LLC.)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 (•  in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.09 14:51:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.07.04 23:17:25 | 000,000,000 | --SD | C] -- C:\Combo-Fix
[2010.07.04 23:16:19 | 000,000,000 | ---D | C] -- C:\8b678fd31b536b580b5015ab
[2010.07.04 22:31:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.07.04 17:08:35 | 000,188,673 | ---- | C] (Avira GmbH) -- C:\Dokumente und Einstellungen\Administrator\Desktop\avirarkd.exe
[2010.07.04 01:23:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
[2010.07.02 19:51:17 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.07.02 11:54:11 | 000,018,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2010.07.02 11:52:32 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2010.07.02 11:49:17 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010.07.01 23:00:15 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.07.01 22:52:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.07.01 20:51:42 | 000,574,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2010.07.01 19:07:43 | 000,472,064 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\Administrator\Desktop\RootRepeal.exe
[2010.07.01 19:01:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.07.01 19:01:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.07.01 19:01:05 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.01 19:01:05 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.01 19:01:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.01 19:01:05 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.01 19:01:04 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.01 18:41:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2010.07.01 15:11:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.06.29 18:41:32 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2010.06.24 01:07:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
[2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[19 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.07.04 23:23:41 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.07.04 23:20:47 | 001,024,280 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.04 23:20:47 | 000,458,822 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.04 23:20:47 | 000,441,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.04 23:20:47 | 000,084,326 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.04 23:20:47 | 000,071,060 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.04 22:27:32 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.07.04 10:56:47 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.07.04 10:54:04 | 000,021,828 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.07.04 10:53:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.04 02:13:15 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2010.07.04 02:13:15 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2010.07.04 00:49:33 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.03 14:46:43 | 000,002,479 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.lnk
[2010.07.03 05:25:21 | 000,089,043 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\RootRepeal.dmp
[2010.07.03 05:24:27 | 002,672,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\esetsmartinstaller_enu.exe
[2010.07.02 20:52:34 | 000,464,491 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\RootRepeal.zip
[2010.07.02 20:38:18 | 000,077,312 | ---- | M] () -- C:\WINDOWS\System32\mbr.exe
[2010.07.02 19:38:48 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.02 14:49:37 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.07.02 11:53:35 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.07.02 11:53:35 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.07.02 11:52:56 | 000,000,491 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.02 11:49:31 | 000,000,902 | ---- | M] () -- C:\WINDOWS\System32\InstallUtil.InstallLog
[2010.07.01 23:14:52 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.01 23:00:18 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.07.01 20:51:44 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2010.07.01 19:00:52 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.01 19:00:52 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.01 19:00:52 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.01 19:00:52 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.01 19:00:52 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.01 18:05:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP
[2010.06.30 15:44:19 | 005,433,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Shontelle - Impossible.mp3
[2010.06.30 15:20:49 | 004,339,840 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Example - Kickstarts.mp3
[2010.06.30 15:17:49 | 005,425,280 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta ft. Bruno Mars - The First Time.mp3
[2010.06.30 15:10:50 | 005,075,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Shanell ft. Ne-Yo & Lil Wayne - Other Side.mp3
[2010.06.30 14:55:58 | 004,755,584 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta ft. Niles Mason - All She Wanna Do Is Dance.mp3
[2010.06.29 22:58:35 | 004,477,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Jason Derulo - Message In The Bottle.mp3
[2010.06.29 22:57:13 | 004,509,824 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta feat. Bruno Mars - Her World Goes On.mp3
[2010.06.29 22:55:10 | 005,150,848 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Jason Derulo - Revolution.mp3
[2010.06.29 22:31:03 | 005,978,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta feat. Akon - Life Of A Superstar.mp3
[2010.06.29 22:23:07 | 005,441,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Jason Derulo - Algebra.mp3
[2010.06.29 22:19:19 | 005,310,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Kelly Rowland ft. David Guetta - Commander.mp3
[2010.06.29 22:15:41 | 005,609,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Flo Rida feat. David Guetta - Club Can't Handle Me.mp3
[2010.06.29 21:50:05 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.06.29 20:08:09 | 000,000,906 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\DVDVideoSoft Free Studio.lnk
[2010.06.15 21:52:40 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cb0cc44fb0f8b4.job
[2010.06.11 19:13:23 | 000,033,792 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Auto.doc
[2010.06.11 11:04:08 | 003,759,996 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[20 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.07.04 22:27:32 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.07.03 05:24:14 | 002,672,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\esetsmartinstaller_enu.exe
[2010.07.02 20:52:32 | 000,464,491 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\RootRepeal.zip
[2010.07.02 20:42:26 | 000,000,402 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\mbr.log
[2010.07.02 20:38:18 | 000,077,312 | ---- | C] () -- C:\WINDOWS\System32\mbr.exe
[2010.07.02 14:49:37 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.07.02 11:53:25 | 000,001,355 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2010.07.01 23:00:18 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.07.01 23:00:16 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.07.01 19:07:57 | 000,089,043 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\RootRepeal.dmp
[2010.07.01 18:16:42 | 000,002,479 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.lnk
[2010.06.29 21:09:19 | 005,150,848 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Jason Derulo - Revolution.mp3
[2010.06.29 21:07:03 | 004,477,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Jason Derulo - Message In The Bottle.mp3
[2010.06.29 21:03:29 | 005,441,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Jason Derulo - Algebra.mp3
[2010.06.29 20:58:23 | 005,425,280 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta ft. Bruno Mars - The First Time.mp3
[2010.06.29 20:54:08 | 004,755,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta ft. Niles Mason - All She Wanna Do Is Dance.mp3
[2010.06.29 20:42:55 | 004,509,824 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta feat. Bruno Mars - Her World Goes On.mp3
[2010.06.29 20:39:46 | 005,075,072 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Shanell ft. Ne-Yo & Lil Wayne - Other Side.mp3
[2010.06.29 20:35:59 | 005,978,240 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\David Guetta feat. Akon - Life Of A Superstar.mp3
[2010.06.29 20:30:50 | 005,609,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Flo Rida feat. David Guetta - Club Can't Handle Me.mp3
[2010.06.29 20:23:01 | 005,310,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Kelly Rowland ft. David Guetta - Commander.mp3
[2010.06.29 20:18:57 | 004,339,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Example - Kickstarts.mp3
[2010.06.29 20:11:51 | 005,433,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Shontelle - Impossible.mp3
[2010.06.29 20:07:52 | 000,000,906 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\DVDVideoSoft Free Studio.lnk
[2010.06.29 18:42:50 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.06.15 21:52:40 | 000,001,084 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cb0cc44fb0f8b4.job
[2009.07.31 16:40:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Editor.INI
[2009.06.12 15:35:00 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2009.06.09 15:52:13 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.06.09 15:25:46 | 000,815,104 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.06.09 15:25:46 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.12.19 17:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008.12.17 19:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008.12.17 19:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008.12.17 19:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.12.17 19:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008.12.17 18:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2008.12.11 13:27:02 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2006.04.01 22:33:30 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2004.11.11 14:00:00 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
< End of report >

Code

 OTL Extras logfile created on: 04.07.2010 23:18:56 - Run 2
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 41,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 146,48 Gb Total Space | 128,71 Gb Free Space | 87,87% Space Free | Partition Type: NTFS
Drive D: | 151,61 Gb Total Space | 91,21 Gb Free Space | 60,16% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: WINDOWSPC
Current User Name: XY
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"2479:TCP" = 2479:TCP:*:Enabled:Services
"3246:TCP" = 3246:TCP:*:Enabled:Services
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"5306:TCP" = 5306:TCP:*:Enabled:Services
"9112:TCP" = 9112:TCP:*:Enabled:Services
"4066:TCP" = 4066:TCP:*:Enabled:Services
"6632:TCP" = 6632:TCP:*:Enabled:Services
"9862:TCP" = 9862:TCP:*:Enabled:Services
"9863:TCP" = 9863:TCP:*:Enabled:Services
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin)
"C:\Games\Empire Earth - Zeitalter der Eroberungen\EE-AOC.exe" = C:\Games\Empire Earth - Zeitalter der Eroberungen\EE-AOC.exe:*:Enabled:EE-AOC -- ()
"C:\Games\Empire Earth\Empire Earth.exe" = C:\Games\Empire Earth\Empire Earth.exe:*:Enabled:Empire Earth -- ()
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE" = C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update -- (AVM Berlin)
"D:\Programme\ICQ\ICQ 6.5\ICQ6.5\ICQ.exe" = D:\Programme\ICQ\ICQ 6.5\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"D:\Programme\Azureus\Azureus.exe" = D:\Programme\Azureus\Azureus.exe:*:Disabled:Azureus -- (Aelitis)
"D:\Spiele\Anno 1701 (RIP, English)\dm-a1701\Anno 1701\Anno1701.exe" = D:\Spiele\Anno 1701 (RIP, English)\dm-a1701\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701 -- (Related Designs Software GmbH)
"D:\Spiele\Pro Evolution Soccer 2010\pes2010.exe" = D:\Spiele\Pro Evolution Soccer 2010\pes2010.exe:*:Enabled:Pro Evolution Soccer 2010 -- (Konami Digital Entertainment Co., Ltd.)
"D:\Spiele\Counter-Strike 1.6\hl.exe" = D:\Spiele\Counter-Strike 1.6\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Games\Siedler 2\bin\S2DNG.exe" = C:\Games\Siedler 2\bin\S2DNG.exe:*:Enabled:S2DNG -- ()
"D:\Spiele\Age Of Empires\Empires.exe" = D:\Spiele\Age Of Empires\Empires.exe:*:Disabled:Age of Empires -- (Microsoft Corporation)
"D:\Musik\iTunes\iTunes.exe" = D:\Musik\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{283FFB23-8751-4B08-ACB8-5E0F8BCF7727}" = Pro Evolution Soccer 2010
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{996A2FAA-7514-4628-9D12-A8FC34A0016E}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9E012857-0B5E-40A0-A36A-36751966A79B}_is1" = ICQ Status Checker 1.7
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A67BB21E-D419-45BB-AB86-7D87D14BBCE2}" = Safari
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1A80F67-656F-4DF3-A6C4-DE18A47477C5}_is1" = ICQ Away Reader 1.4
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}" = CyberLink PowerDVD 10
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"{E4A71A41-BCC8-480a-9E69-0DA29CBA7ECA}" = kikin Plugin (Murb.com Edition) 2.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA2D9BC0-75E9-4975-9A0A-DD82198DDC53}" = MSXML 6.0 Parser
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FC053571-8507-44E4-8B6D-AACEAB8CA57C}" =  Sansa Media Converter
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"82A44D22-9452-49FB-00FB-CEC7DCAF7E23" = EA SPORTS online 2004
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Age of Empires" = Microsoft Age of Empires
"ANSTOSS 3_is1" = ANSTOSS 3
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMFBox" = FRITZ!Box
"AVMWLANCLI" = AVM FRITZ!WLAN
"Azureus" = Azureus
"Canon Setup Utility 2.0" = Canon Setup Utility 2.0
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"[url="http://www.ccleaner.de"]CCleaner[/url]" = [url="http://www.ccleaner.de"]CCleaner[/url]
"CleanUp!" = CleanUp!
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"Easy-WebPrint" = Easy-WebPrint
"Emsisoft Anti-Malware_is1" = Emsisoft Anti-Malware 5.0
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.3
"Free Studio_is1" = Free Studio version 4.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.5
"FRITZ!DSL" = AVM FRITZ!DSL
"FrostWire" = FrostWire 4.18.3
"Google Chrome" = Google Chrome
"HD Tune_is1" = HD Tune 2.55
"HijackThis" = HijackThis 2.0.2
"InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}" = CyberLink PowerDVD 10
"IrfanView" = IrfanView (remove only)
"jv16 PowerTools 2009_is1" = jv16 PowerTools 2009
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NVIDIA Drivers" = NVIDIA Drivers
"SearchAnonymizer" = SearchAnonymizer
"Security Task Manager" = Security Task Manager 1.7
"Shockwave" = Shockwave
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"Uninstall_is1" = Uninstall 1.0.0.1
"UnrealTournament" = Unreal Tournament G.O.T.Y. Edition
"Visual Task Tips" = Visual Task Tips 2.3
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XP Codec Pack" = XP Codec Pack
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Xvid_is1" = Xvid 1.2.1 final uninstall
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 17.01.2010 06:06:52 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 17.01.2010 06:19:38 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 19.01.2010 02:04:37 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 19.01.2010 02:10:04 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 28.01.2010 08:33:01 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 28.01.2010 08:46:55 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 28.01.2010 08:48:47 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 09.02.2010 00:59:19 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 09.02.2010 01:06:25 | Computer Name = WINDOWSPC | Source = Google Update | ID = 20
Description = 
 
Error - 20.02.2010 10:59:49 | Computer Name = WINDOWSPC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 02.07.2010 13:28:19 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Universeller Plug & Play-Gerätehost" ist vom Dienst "SSDP-Suchdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 02.07.2010 13:28:19 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
 "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers 
nicht gestartet wurde:   %%1068
 
Error - 02.07.2010 22:59:09 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Universeller Plug & Play-Gerätehost" ist vom Dienst "SSDP-Suchdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 02.07.2010 22:59:09 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
 "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers 
nicht gestartet wurde:   %%1068
 
Error - 03.07.2010 06:55:35 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Universeller Plug & Play-Gerätehost" ist vom Dienst "SSDP-Suchdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 03.07.2010 06:55:35 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
 "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers 
nicht gestartet wurde:   %%1068
 
Error - 03.07.2010 18:36:32 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Universeller Plug & Play-Gerätehost" ist vom Dienst "SSDP-Suchdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 03.07.2010 18:36:32 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
 "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers 
nicht gestartet wurde:   %%1068
 
Error - 04.07.2010 04:54:22 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Universeller Plug & Play-Gerätehost" ist vom Dienst "SSDP-Suchdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 04.07.2010 04:54:23 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
 "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers 
nicht gestartet wurde:   %%1068
 
 
< End of report >

#28 Schritt 1

Tool-Bereinigung mit OTL


• Doppelklick auf OTL.exe, um das Programm auszuführen.
• Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
• OTL fragt nach einem Neustart, lasse das bitte zu.


Nach dem Neustart werden OTL selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.

Schritt 2

Programme updaten

Du verwendest zum Teil veraltete Software, die Sicherheitslücken auf deinem System bildet, durch die Malware eindringen kann. Alle Software, die du auf deinem Rechner hast, muss regelmäßig geupdatet werden, auch dann, wenn du sie nicht verwendest. Eine einfache Möglichkeit, diese Software Updates zu überwachen, bietet der Secunia Inspektor.

#29 Werde ich gleich alles machen, aber zum Thema Windows Updates...Unten Rechts in der Leiste neben der Uhrzeit, steht seit 1-2 Tagen ein gelbes Zeichen mit Ausrufezeichen (Windows Updates)...Die installiere ich gerade alle (65 Updates). Nun die Frage: Wieso kommen die jetzt alle auf einmal und zuvor die Monate/Jahre wurde das nie angezeigt? Hab ich iwas falsch eingestellt gehabt?

#30 Die Infizierung hat den Zugang zu den Updates blockiert