Problem mit Programmen: minimiren sich von selbst. HijackThis Log auswerten.

#0
29.07.2010, 23:17
Member

Beiträge: 14
#1 Hallo Forum,
Ich habe folgendes Problem: Wenn ich ein Programm starte, minimiert es sich nach kurzer Zeit selbst. Dies wiederholt sich dann alle paar minuten...
Ausserdem läuft ab und zu im Hintergrund komische Musik, kommt aber nicht vom wmp oder ähnlichem.
Ich hab mir sagen lassen, ich soll mal Hijackthis laufen lassen, um zu checken ob alles in Ordnung ist, da ich mich aber nicht wirklich damit auskenne wollte ich mal drum bitten, dass mir jemand den Log auswertet... Freue mich über jede Hilfe, wär echt nett von euch.



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:06:18, on 29.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Jazzy\Bureaublad\HiJackThis\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\tbDVD1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\tbDVD1.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\tbDVD1.dll
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Jazzy\Application Data\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6776 bytes
__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
30.07.2010, 00:41
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
• Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
Seitenanfang Seitenende
31.07.2010, 19:59
Member

Themenstarter

Beiträge: 14
#3 MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\E: --> \\.\PhysicalDrive0



Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 Unknown MBR code





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:
__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
01.08.2010, 00:34
Moderator

Beiträge: 5694
#4 Schritt 1

[COLOR=Blue]Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)[/COLOR]


• Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
• Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code

mbr.exe -t > C:\mbr.log & C:\mbr.log
(Enter drücken)
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.


Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
• Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
02.08.2010, 21:01
Member

Themenstarter

Beiträge: 14
#5 MBR.Log von Schritt 1:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys amdide.sys PCIIDEX.SYS
kernel: MBR read successfully
copy of MBR has been found in sector 62 !

Otl Log von Schritt 2:

Code

OTL logfile created on: 02.08.2010 20:55:02 - Run 1
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Documents and Settings\Jazzy\Bureaublad
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Duitsland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 46,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 127,99 Gb Total Space | 91,21 Gb Free Space | 71,26% Space Free | Partition Type: NTFS
Drive D: | 227,94 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 128,00 Gb Total Space | 84,08 Gb Free Space | 65,69% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: HNNF-TAI02S7RMQ
Current User Name: Jazzy
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Documents and Settings\Jazzy\Bureaublad\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files\AVG\AVG9\avgemc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\AVG\AVG9\avgnsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\AVG\AVG9\avgrsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\AVG\AVG9\avgcsrvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\AVG\AVG9\avgchsvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Program Files\Windows Live\Contacts\wlcomm.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\FsUsbExService.Exe (Teruten)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\cmd.exe (Microsoft Corporation)
PRC - C:\Program Files\Windows Media Player\wmplayer.exe (Microsoft Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Documents and Settings\Jazzy\Bureaublad\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (avg9emc) -- C:\Program Files\AVG\AVG9\avgemc.exe (AVG Technologies CZ, s.r.o.)
SRV - (avg9wd) -- C:\Program Files\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (FsUsbExService) -- C:\WINDOWS\system32\FsUsbExService.Exe (Teruten)
SRV - (ServiceLayer) -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (Nokia.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (PciCon) -- D:\PciCon.sys File not found
DRV - (GMSIPCI) -- D:\INSTALL\GMSIPCI.SYS File not found
DRV - (AvgTdiX) -- C:\WINDOWS\system32\drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgLdx86) -- C:\WINDOWS\system32\drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgMfx86) -- C:\WINDOWS\system32\drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)
DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (ss_bmdm) -- C:\WINDOWS\system32\drivers\ss_bmdm.sys (MCCI Corporation)
DRV - (ss_bbus) SAMSUNG USB Mobile Device (WDM) -- C:\WINDOWS\system32\drivers\ss_bbus.sys (MCCI)
DRV - (ss_bmdfl) SAMSUNG USB Mobile Modem (Filter) -- C:\WINDOWS\system32\drivers\ss_bmdfl.sys (MCCI Corporation)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (amdide) -- C:\WINDOWS\system32\DRIVERS\amdide.sys (Advanced Micro Devices)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (ZSMC301b) -- C:\WINDOWS\system32\drivers\usbVM31b.sys (VM)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\tbDVD1.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "http://www.google.de/"

FF - HKLM\software\mozilla\Firefox\Extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Program Files\AVG\AVG9\Firefox [2010.07.21 10:01:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.07.24 13:38:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.07.24 13:38:56 | 000,000,000 | ---D | M]

[2010.03.15 19:09:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\Mozilla\Extensions
[2010.08.01 23:00:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Profiles\dltujjz7.default\extensions
[2010.03.16 00:11:05 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Profiles\dltujjz7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.03.25 23:31:45 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Profiles\dltujjz7.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.07.15 01:30:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Profiles\dltujjz7.default\extensions\radiobar@toolbar
[2010.03.26 01:34:33 | 000,000,873 | ---- | M] () -- C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Profiles\dltujjz7.default\searchplugins\conduit.xml
[2010.08.01 23:00:25 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2010.04.01 22:31:28 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2001.09.07 14:00:00 | 000,000,776 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\tbDVD1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Program Files\DVDVideoSoft\tbDVD1.dll (Conduit Ltd.)
O4 - HKLM..\Run: [AVG9_TRAY] C:\Program Files\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Jazzy\Application Data\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O15 - HKCU\..Trusted Domains:   ([]msn in Deze computer)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab (UnoCtrl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Mijn huidige introductiepagina) - About:Home
O24 - Desktop WallPaper: C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Desktop-Hintergrund.bmp
O24 - Desktop BackupWallPaper: C:\Documents and Settings\Jazzy\Application Data\Mozilla\Firefox\Desktop-Hintergrund.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.03.15 01:17:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.04.11 02:00:00 | 000,000,056 | RH-- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2009.10.25 15:01:10 | 000,000,000 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.08.02 20:54:15 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Jazzy\Bureaublad\OTL.exe
[2010.07.29 23:02:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jazzy\Bureaublad\HiJackThis
[2010.07.28 16:58:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\DVDVideoSoft
[2010.07.28 02:40:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jazzy\Application Data\AVG9
[2010.07.27 16:14:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\Macromedia
[2010.07.27 16:14:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\Adobe
[2010.07.27 08:58:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia
[2010.07.27 08:58:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Adobe
[2010.07.26 21:57:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jazzy\Application Data\DVDVideoSoftIEHelpers
[2010.07.16 11:55:06 | 000,012,536 | ---- | C] (AVG Technologies CZ, s.r.o.) -- C:\WINDOWS\System32\avgrsstx.dll
[2010.07.14 08:43:48 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe
[2010.07.06 22:47:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jazzy\Local Settings\Application Data\VT_Software
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.08.02 20:54:00 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Jazzy\Bureaublad\OTL.exe
[2010.08.02 20:51:18 | 000,077,312 | ---- | M] () -- C:\WINDOWS\System32\mbr.exe
[2010.08.02 16:46:22 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\Jazzy\Local Settings\Application Data\prvlcl.dat
[2010.08.02 16:29:45 | 062,865,213 | ---- | M] () -- C:\WINDOWS\System32\drivers\Avg\incavi.avm
[2010.08.02 16:23:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.02 16:23:09 | 000,069,112 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2010.08.02 16:23:09 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.02 03:56:16 | 004,194,304 | -H-- | M] () -- C:\Documents and Settings\Jazzy\NTUSER.DAT
[2010.08.02 03:56:16 | 000,000,188 | -HS- | M] () -- C:\Documents and Settings\Jazzy\ntuser.ini
[2010.08.02 03:56:04 | 001,975,580 | -H-- | M] () -- C:\Documents and Settings\Jazzy\Local Settings\Application Data\IconCache.db
[2010.08.02 03:04:57 | 003,932,214 | ---- | M] () -- C:\Documents and Settings\Jazzy\Bureaublad\adsfafs.bmp
[2010.08.02 02:04:00 | 003,932,214 | ---- | M] () -- C:\Documents and Settings\Jazzy\Bureaublad\Boss.bmp
[2010.08.01 16:52:00 | 000,000,343 | ---- | M] () -- C:\Documents and Settings\Jazzy\Bureaublad\Nieuw - Rich Text-document.rtf
[2010.07.30 21:44:40 | 000,000,282 | ---- | M] () -- C:\WINDOWS\tasks\wavepadShakeIcon.job
[2010.07.30 21:44:39 | 034,014,974 | ---- | M] () -- C:\Documents and Settings\Jazzy\Bureaublad\Kollegah - Kokamusik.wav
[2010.07.29 15:23:53 | 003,932,214 | ---- | M] () -- C:\Documents and Settings\Jazzy\Bureaublad\Wer hat die meisten fragss booy.bmp
[2010.07.27 16:17:46 | 000,000,598 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.27 16:17:46 | 000,000,307 | RHS- | M] () -- C:\boot.ini
[2010.07.27 16:17:46 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.20 14:49:08 | 000,000,754 | ---- | M] () -- C:\WINDOWS\WORDPAD.INI
[2010.07.16 11:55:12 | 000,243,024 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINDOWS\System32\drivers\avgtdix.sys
[2010.07.16 11:55:06 | 000,012,536 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINDOWS\System32\avgrsstx.dll
[2010.07.16 11:52:40 | 000,216,400 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINDOWS\System32\drivers\avgldx86.sys
[2010.07.15 23:56:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.09 09:52:13 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.07.07 15:08:03 | 000,021,504 | R--- | M] () -- C:\Documents and Settings\Jazzy\Bureaublad\Trainingsplan Sommerferien 2010 ohne Briefbogen.doc
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.08.02 20:53:12 | 000,000,315 | ---- | C] () -- C:\Documents and Settings\Jazzy\mbr.log
[2010.08.02 20:52:31 | 000,077,312 | ---- | C] () -- C:\WINDOWS\System32\mbr.exe
[2010.08.02 03:04:57 | 003,932,214 | ---- | C] () -- C:\Documents and Settings\Jazzy\Bureaublad\adsfafs.bmp
[2010.08.02 02:04:00 | 003,932,214 | ---- | C] () -- C:\Documents and Settings\Jazzy\Bureaublad\Boss.bmp
[2010.07.31 03:25:38 | 000,000,343 | ---- | C] () -- C:\Documents and Settings\Jazzy\Bureaublad\Nieuw - Rich Text-document.rtf
[2010.07.30 21:44:39 | 000,000,282 | ---- | C] () -- C:\WINDOWS\tasks\wavepadShakeIcon.job
[2010.07.30 21:29:36 | 034,014,974 | ---- | C] () -- C:\Documents and Settings\Jazzy\Bureaublad\Kollegah - Kokamusik.wav
[2010.07.29 15:23:52 | 003,932,214 | ---- | C] () -- C:\Documents and Settings\Jazzy\Bureaublad\Wer hat die meisten fragss booy.bmp
[2010.07.07 15:08:08 | 000,021,504 | R--- | C] () -- C:\Documents and Settings\Jazzy\Bureaublad\Trainingsplan Sommerferien 2010 ohne Briefbogen.doc
[2010.05.08 11:57:41 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2010.05.04 17:23:39 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2010.03.16 23:38:31 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2010.03.16 23:38:31 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2007.10.25 18:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys

[color=#E56717]========== LOP Check ==========[/color]

[2010.03.15 20:43:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\avg9
[2010.04.25 20:12:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Deskshare
[2010.05.04 17:14:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\EPSON
[2010.03.27 14:34:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
[2010.03.22 23:18:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
[2010.03.17 00:08:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\PC Suite
[2010.07.05 17:14:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2010.03.20 21:56:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\2K Sports
[2010.07.28 02:40:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\AVG9
[2010.07.17 16:04:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\BitTorrent
[2010.07.26 21:57:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\DVDVideoSoftIEHelpers
[2010.06.06 12:17:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\EPSON
[2010.06.17 16:08:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\Facebook
[2010.03.27 19:23:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\NCH Swift Sound
[2010.03.23 19:09:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\OpenOffice.org
[2010.03.17 00:08:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\PC Suite
[2010.07.26 19:02:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\PriceGong
[2010.03.16 23:38:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jazzy\Application Data\Samsung
[2010.03.22 23:18:43 | 000,000,284 | ---- | M] () -- C:\WINDOWS\Tasks\mixpadSevenDaysInit.job
[2010.05.16 23:43:01 | 000,000,278 | ---- | M] () -- C:\WINDOWS\Tasks\mixpadShakeIcon.job
[2010.07.30 21:44:40 | 000,000,282 | ---- | M] () -- C:\WINDOWS\Tasks\wavepadShakeIcon.job

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 128 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:6152D44C
@Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:66B13F37
< End of report >
2. Logfile von Schritt 2:

Code

OTL Extras logfile created on: 02.08.2010 20:55:02 - Run 1
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Documents and Settings\Jazzy\Bureaublad
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Duitsland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 46,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 127,99 Gb Total Space | 91,21 Gb Free Space | 71,26% Space Free | Partition Type: NTFS
Drive D: | 227,94 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 128,00 Gb Total Space | 84,08 Gb Free Space | 65,69% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: HNNF-TAI02S7RMQ
Current User Name: Jazzy
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe" = C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\AVG\AVG9\avgemc.exe" = C:\Program Files\AVG\AVG9\avgemc.exe:*:Enabled:avgemc.exe -- (AVG Technologies CZ, s.r.o.)
"C:\Program Files\AVG\AVG9\avgupd.exe" = C:\Program Files\AVG\AVG9\avgupd.exe:*:Enabled:avgupd.exe -- (AVG Technologies CZ, s.r.o.)
"C:\Program Files\AVG\AVG9\avgnsx.exe" = C:\Program Files\AVG\AVG9\avgnsx.exe:*:Enabled:avgnsx.exe -- (AVG Technologies CZ, s.r.o.)
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe" = C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"C:\Program Files\BitTorrent\bittorrent.exe" = C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- (BitTorrent, Inc.)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0323C306-8B8C-BB5F-E644-5BFE9A42A7BF}" = Catalyst Control Center Localization Hungarian
"{054CCA19-DADE-A3C9-171A-8735E23CA6FA}" = Catalyst Control Center Localization Italian
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{08B21B7E-DC6F-69F0-780F-FE7918726A34}" = Catalyst Control Center Localization Korean
"{106E35DE-FFF3-033A-0D1B-288A231BDE64}" = Catalyst Control Center Localization Russian
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{193DDD97-B56A-511D-0CD6-78D5F421D5BD}" = Catalyst Control Center HydraVision Full
"{19CA0312-BD69-A0DE-D242-BD806E9D627A}" = CCC Help Dutch
"{1A8F390D-E05E-A124-3FB7-89E3E49F81E2}" = CCC Help Polish
"{1B4FC4DB-4ACD-77A1-BA99-C820E5CB68BC}" = CCC Help Chinese Standard
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{2A2646FB-7BAC-451B-BF90-4889C4429C5E}" = Philips SPC 200NC PC Camera
"{2BE013D0-4CF4-AA57-05E1-19F9FACCF622}" = CCC Help English
"{2ED57AFF-081D-3B60-0C76-E51F68A9F0D8}" = Catalyst Control Center Localization Polish
"{336D9EAB-B952-6023-C94C-8DE52AD75E7D}" = Catalyst Control Center Localization German
"{350C97BD-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36753DE9-4B0F-1C39-D2C6-D9E9A1814FC3}" = CCC Help Hungarian
"{36CDA33B-909B-4719-97D1-C4B99309BDC7}" = ATI Parental Control & Encoder
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4891561F-8CE7-1162-5967-E741306F7616}" = CCC Help Italian
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AE31F12-E34D-83C1-BA1A-D65AF3BBB95F}" = Catalyst Control Center Localization Spanish
"{4C8E4664-A6A1-4847-61D0-D4FA02C42BB0}" = Skins
"{4CACC1AC-7EDF-4E73-0019-A446CE2CA02B}" = Catalyst Control Center Localization Chinese Standard
"{4F28C8B9-E1A5-7BC1-915A-29913E129042}" = Catalyst Control Center Localization Japanese
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{57B2B2E4-A1D5-1097-C223-6A4E81554458}" = Catalyst Control Center Localization Danish
"{5BE36E29-4207-2D14-1413-DF103390CC19}" = CCC Help French
"{5D2B8C32-D051-0DB0-D8BD-5CA32E13723B}" = CCC Help Swedish
"{5E85647B-DAF4-E174-9954-210D18B123E6}" = Catalyst Control Center Localization Thai
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{63CA4C0D-7C03-69FE-AE5D-96319AD6AA08}" = CCC Help Norwegian
"{667B8F35-6242-50D3-D69E-69D3BE5445D5}" = Catalyst Control Center Localization Finnish
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6A6818AD-60CE-9346-60BB-0717876E40F4}" = ccc-core-preinstall
"{6DAC0917-50F5-7F70-9776-4215DA7E2D1B}" = CCC Help German
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76E3C633-BC8E-E33D-8774-4A3DF581C8FE}" = CCC Help Portuguese
"{788F45B5-816D-2294-33DD-BF080093D54D}" = Catalyst Control Center Graphics Previews Common
"{79A636B4-3FA8-1E2F-A85D-6B6A4A0DA43D}" = CCC Help Russian
"{7A14BF33-11BF-033B-02CC-732A30C09314}" = Catalyst Control Center Localization Greek
"{7C7575F4-351D-8F62-5693-61D6E0171F85}" = CCC Help Korean
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{82D1C246-2D78-5311-8D3F-8214B94EEFA4}" = CCC Help Turkish
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{85B4D6CC-ADF6-A78F-1463-F70C2E274849}" = CCC Help Finnish
"{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs
"{8A183127-7EDB-B2DD-7D87-70FBFA3A33C1}" = Catalyst Control Center Localization Portuguese
"{8B35E3B4-0E9B-ED12-F102-EB8160DD1F46}" = Catalyst Control Center Localization Swedish
"{8C3727F2-8E37-49E4-820C-03B1677F53B6}" = Stronghold Crusader Extreme
"{8FD6CA17-DB2B-9411-CEF5-B899DCBAB685}" = CCC Help Danish
"{90D73DED-670E-BE24-C645-C4D546A1F2C3}" = CCC Help Spanish
"{9210C991-FE28-2B30-3E27-0F921AB5B9EC}" = Catalyst Control Center Localization Chinese Traditional
"{926D18B2-11B5-7210-621A-5231DC005705}" = CCC Help Czech
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9559F7CA-5E34-4237-A2D9-D856464AD727}" = Project64 1.6
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9B0CCE51-B328-D4F7-C4A4-65723AF20574}" = Catalyst Control Center Core Implementation
"{A13C84F5-B2FC-823B-ADB2-6F5B2A6EE9DE}" = ccc-utility
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B70E4F29-F9C9-4D32-80F3-6E24ED1DBCDF}" = Catalyst Control Center Localization Norwegian
"{B9C149DB-E4F6-573A-DF3B-B9E392F1BA64}" = CCC Help Thai
"{BDC209E0-8D38-F913-5246-4376FC4C3EF5}" = Catalyst Control Center Localization French
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C73B3D3A-2FDC-EE8F-F0E5-0269A85014D3}" = Catalyst Control Center Graphics Light
"{C8C08FE3-05DC-7A8B-C23B-9276FFE21183}" = Catalyst Control Center Localization Dutch
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D00A7B31-C764-94AF-7915-87676458CC66}" = Catalyst Control Center Localization Turkish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D3B1C799-CB73-42DE-BA0F-2344793A095C}" = Catalyst Control Center - Branding
"{D4B95A0D-CF13-633F-09A6-15D78B24F3AE}" = CCC Help Chinese Traditional
"{D9509DDD-74B4-A7CB-3669-7358BEE3C1AC}" = ccc-core-static
"{E46B244B-9BF2-EA75-2D4C-7BD0BA12860A}" = CCC Help Japanese
"{EA5C28E2-3048-5BC5-67C4-E0BB33C60FDA}" = Catalyst Control Center Localization Czech
"{ECA89BA0-1C9B-237D-F59E-EC62534831A5}" = Catalyst Control Center Graphics Full New
"{ECB29C3B-4D64-17C0-430D-DEB933D76834}" = CCC Help Greek
"{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform
"{ED862528-0058-F09F-F4B3-3E3276A3F3C7}" = Catalyst Control Center Graphics Full Existing
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-stuurprogrammapakket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-stuurprogrammapakket - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-stuurprogrammapakket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Auto Movie Creator_is1" = Auto Movie Creator 3.2
"AVG9Uninstall" = AVG Free 9.0
"BitTorrent" = BitTorrent
"CX4300_5500_DX4400 Handbuch" = CX4300_5500_DX4400 Handbuch
"DVDVideoSoft Toolbar" = DVDVideoSoft Toolbar
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"Messenger Plus! Live" = Messenger Plus! Live
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MixPad" = MixPad Audio Mixer
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"mpegable DS" = mpegable DS decoder
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PhotoScape" = PhotoScape
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"Uninstall_is1" = Uninstall 1.0.0.1
"Warkeys" = Warkeys 1.15.7.0b
"WavePad" = WavePad Sound Editor
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Facebook Plug-In" = Facebook Plug-In
"Warcraft III" = Warcraft III: All Products

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 05.06.2010 16:32:29 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 06.06.2010 05:21:51 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 06.06.2010 10:52:48 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 06.06.2010 15:00:36 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 07.06.2010 10:08:53 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 08.06.2010 10:00:57 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 08.06.2010 12:41:42 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 08.06.2010 14:37:20 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 09.06.2010 01:46:42 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

Error - 09.06.2010 02:56:54 | Computer Name = HNNF-TAI02S7RMQ | Source = PerfNet | ID = 2004
Description = Kan de Server-service niet openen. Prestatiegegevens van de server
zullen
niet worden geretourneerd. De geretourneerde foutcode is een DWORD 0-waarde.

[ System Events ]
Error - 27.07.2010 20:22:54 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De Java Quick Starter-service is onverwacht beëindigd. Dit is nu 1
keer gebeurd.

Error - 27.07.2010 20:22:59 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De Ati HotKey Poller-service is onverwacht beëindigd. Dit is nu 1
keer gebeurd.

Error - 27.07.2010 20:23:01 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7031
Description = De AVG Free WatchDog-service is onverwacht gestopt. Dit is 1 keer
gebeurd. De volgende herstelbewerking zal over 0 milliseconden worden uitgevoerd:
Service opnieuw starten.

Error - 28.07.2010 15:34:10 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7031
Description = De Windows Media Player-Netzwerkfreigabedienst-service is onverwacht
gestopt. Dit is 1 keer gebeurd. De volgende herstelbewerking zal over 30000 milliseconden
worden uitgevoerd: Service opnieuw starten.

Error - 28.07.2010 15:34:21 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De FsUsbExService-service is onverwacht beëindigd. Dit is nu 1 keer
gebeurd.

Error - 28.07.2010 15:34:24 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De Ati HotKey Poller-service is onverwacht beëindigd. Dit is nu 1
keer gebeurd.

Error - 28.07.2010 15:34:29 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De Java Quick Starter-service is onverwacht beëindigd. Dit is nu 1
keer gebeurd.

Error - 28.07.2010 15:34:33 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De Application Layer Gateway-service-service is onverwacht beëindigd.
Dit is nu 1 keer gebeurd.

Error - 31.07.2010 18:14:51 | Computer Name = HNNF-TAI02S7RMQ | Source = Service Control Manager | ID = 7034
Description = De FsUsbExService-service is onverwacht beëindigd. Dit is nu 1 keer
gebeurd.

Error - 01.08.2010 12:56:14 | Computer Name = HNNF-TAI02S7RMQ | Source = Disk | ID = 262155
Description = Het stuurprogramma heeft een controllerfout gevonden in \Device\Harddisk0\D.


< End of report >

__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
02.08.2010, 21:16
Member

Themenstarter

Beiträge: 14
#6 Zu Schritt 3:

Nachdem ich GMER gestarted habe (d.h Doppelclick) hat mein rechner ohne Vorwarnung neugestartet.
__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
02.08.2010, 22:56
Moderator

Beiträge: 5694
#7 Schritt 1

Bei Dir scheint sich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist.

MBR wiederherstellen

Entweder so:
• Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
• Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
fixmbr
oder so:
• Kopiere die Datei mbr.exe nach C:\Windows\system32
• Start => ausführen => cmd (da reinschreiben) => OK
• es öffnet sich ein Dosfenster
• bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
• und ggfs. den Anweisungen folgen.

Schritt 2

Filesharing

Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.

Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren

Zitat

BitTorrent
Schritt 3

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter:

Malwarebytes


* Anwendbar auf Windows 2000, XP, Vista und Windows 7.
* Installiere das Programm in den vorgegebenen Pfad.
* Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
* Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
* Aktiviere "Komplett Scan durchführen" => Scan.
* Wähle alle verfügbaren Laufwerke aus und starte den Scan.
* Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
* Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
* Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
* Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
* Berichte, wie der Rechner nun läuft.
Seitenanfang Seitenende
02.08.2010, 23:28
Member

Themenstarter

Beiträge: 14
#8 zu schritt 1 :

Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Jazzy>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully
copy of MBR has been found in sector 62 !

C:\Documents and Settings\Jazzy>



Edit: Malwarescan läuft grad noch.
__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
03.08.2010, 00:48
Member

Themenstarter

Beiträge: 14
#9 Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4382

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

03.08.2010 00:48:00
mbam-log-2010-08-03 (00-48-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 289180
Laufzeit: 1 Stunde(n), 17 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 36

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Documents and Settings\Emina\Local Settings\Temp\B6.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\cowaemxrsn.tmp (Trojan.Scar) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\ocmsanwrxe.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\Setup.tmp (Adware.Agent) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\srcamnxoew.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\nmsxocawre.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\wcenrsmxao.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\xrnsamoecw.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temp\ecsanmrxow.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\Documents and Settings\Emina\Local Settings\Temporary Internet Files\Content.IE5\GJCJ8Z43\Setup[1].exe (Adware.Agent) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014172.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014173.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014174.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014175.exe (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014176.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014178.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014179.exe (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014180.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014181.exe (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014182.exe (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014183.exe (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014184.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014185.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014186.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP32\A0014195.dll (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP51\A0024853.dll (Adware.BHO) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP51\A0024854.exe (Adware.AdRotator) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP54\A0030502.dll (Adware.BHO) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP56\A0030763.exe (Adware.Hotbar) -> Not selected for removal.
E:\System Volume Information\_restore{5D494C1E-99B2-4E8D-962F-D694ED5412D1}\RP56\A0030893.exe (Adware.Hotbar) -> Not selected for removal.
E:\WINDOWS\Temp\gtk1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\gtk2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\gtk3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\gtk4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\gtk5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\gtk6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
03.08.2010, 17:15
Moderator

Beiträge: 5694
#10 Wie hast Du Schritt 1 gemacht?

SO:
• Kopiere die Datei mbr.exe nach C:\Windows\system32
• Start => ausführen => cmd (da reinschreiben) => OK
• es öffnet sich ein Dosfenster
• bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
• und ggfs. den Anweisungen folgen.
Seitenanfang Seitenende
03.08.2010, 17:26
Member

Themenstarter

Beiträge: 14
#11 Ich bin deinen Anweisungen exakt nachgegangen, chef.

Folgendes kam dabei heraus:

Code

Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Jazzy>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully
copy of MBR has been found in sector 62 !

C:\Documents and Settings\Jazzy>

__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
03.08.2010, 17:39
Moderator

Beiträge: 5694
#12 Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.
Seitenanfang Seitenende
03.08.2010, 22:22
Member

Themenstarter

Beiträge: 14
#13 hab combofix gestartet, ein blaues Fenster hat sich geöffnet, und nach circa 5 minuten ist mein Pc abgestürzt, vermute ich.
__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
03.08.2010, 22:52
Moderator

Beiträge: 5694
#14 Und wa stand im blauen Fenster?

Mache folgendes und versuche danach wieder zu starten:

Automatischen Neustart abstellen, um Abstürze mit Blue Screen aufzuzeichnen

Systemsteuerung => System => Erweitert => Starten und Wiederherstellen => Einstellungen: Dort den Haken bei "Automatisch Neustart durchführen" wegnehmen => unter "Debuginformationen speichern" => "kleines Speicherabbild (64 KB)" wählen => OK => OK. Wenn Windows jetzt abstürzt, dann erfolgt kein Neustart sondern Du bekommst den Bluescreen angezeigt. Dort gibt es eine Zeile, die mit "STOP" anfängt gefolgt von 4 langen hexadezimalen Codes. Je nach Typ des Fehlers kann es weiter unten eine weitere Zeile mit hexadezimalen Codes und eventuell einem Dateinamen geben. Diese beiden Zeilen abschreiben (sorry, Copy&Paste funktioniert dort nicht) und posten. Aus deren Inhalt kann man Hinweise gewinnen, woran es liegen kann.

Außerdem wird unter C:\Windows eine Datei namens Minidump angelegt. Zippe diese Datei füge sie als Anhang hier in den Thread.
Seitenanfang Seitenende
05.08.2010, 11:00
Member

Themenstarter

Beiträge: 14
#15 folgendes ist passiert:

Ich starte Combo-Fix. nach 2 minuten sagt es mir ich habe ein "whistler bootkit" auf dem pc.
nächste meldung: Pc muss neugestartet werden, rootkitaktivitäten wurden festgestellt.

ok Neustart, Combo-fix öffnet sich. Von schritt 1-50 läufts wie geschmiert, dann stürzt der pc ab mit diesem Bluescreen:

PROBLEM: BAD_POOL_HEADER

***STOP: 0x00000019 (0x00000020,0x88A98218,0x88A98630,0x1A830001)

Anhang: Minidump.rar

__________
Wer Rechtschreibfehler findet, kann sie behalten.
Fan von Swisstreasure! ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: