Home » Spyware & Browser Hijacker Support Forum » Es öffnen sich ständig werbefenster Hijack This » Themenansicht

Es öffnen sich ständig werbefenster Hijack This
#0
14.09.2010, 17:49
Agamann
...neu hier

Beiträge: 10
#1 Es öffnen sich ständig Werbefenster bitte mal prüfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:52, on 14.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\WINDOWS\Mixer.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\florian ackermann\lokale einstellungen\anwendungsdaten\qtdgrb.exe
C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe
C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe
C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\ScriptSn.20100518193146.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-Home Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [mcui_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [qtdgrb] "c:\dokumente und einstellungen\florian ackermann\lokale einstellungen\anwendungsdaten\qtdgrb.exe" qtdgrb
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: T-Home Dialerschutz Dienst (DFSVC) - T-Systems International GmbH - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Google Update Service (gupdate1c9edecb68409fc) (gupdate1c9edecb68409fc) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: McAfee Personal Firewall-Dienst (McMPFSvc) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McShield - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mcshield.exe
O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mfefire.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 8851 bytes
Seitenanfang Seitenende
14.09.2010, 22:02
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
• Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
15.09.2010, 18:06
Agamann
...neu hier

Themenstarter

Beiträge: 10
#3

Code

OTL logfile created on: 15.09.2010 17:54:50 - Run 1
OTL by OldTimer - Version 3.2.12.1     Folder = C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 118,65 Gb Free Space | 79,61% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 4,12 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FLORIAN-075A4A4
Current User Name: Florian Ackermann
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.exe ()
PRC - C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
PRC - c:\Programme\McAfee\MSC\mcupdmgr.exe (McAfee, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe (McAfee, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe (McAfee, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe (McAfee, Inc.)
PRC - C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe (Google Inc.)
PRC - C:\Programme\Gemeinsame Dateien\McAfee\MSC\McUICnt.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\MSM\McSmtFwk.exe (McAfee, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe (T-Systems International GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\McAfee\SiteAdvisor\McSACore.exe ()
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\TomTom HOME\TomTomHOME.exe (TomTom)
PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Programme\T-Online\Dialerschutz-Software\df.dll (T-Systems International GmbH)
MOD - C:\Programme\McAfee\SiteAdvisor\sahook.dll ()
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (mfefire) -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe (McAfee, Inc.)
SRV - (mfevtp) -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe (McAfee, Inc.)
SRV - (McODS) -- C:\Programme\McAfee\VirusScan\mcods.exe (McAfee, Inc.)
SRV - (McShield) -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mcshield.exe ()
SRV - (McProxy) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV - (McNASvc) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV - (McNaiAnn) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV - (mcmscsvc) -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV - (McMPFSvc) -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (DFSVC) -- C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe (T-Systems International GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (McAfee SiteAdvisor Service) -- C:\Programme\McAfee\SiteAdvisor\McSACore.exe ()
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (mfehidk) -- C:\WINDOWS\system32\drivers\mfehidk.sys (McAfee, Inc.)
DRV - (mfefirek) -- C:\WINDOWS\system32\drivers\mfefirek.sys (McAfee, Inc.)
DRV - (mfeavfk) -- C:\WINDOWS\system32\drivers\mfeavfk.sys (McAfee, Inc.)
DRV - (mfeapfk) -- C:\WINDOWS\system32\drivers\mfeapfk.sys (McAfee, Inc.)
DRV - (mfendiskmp) -- C:\WINDOWS\system32\drivers\mfendisk.sys (McAfee, Inc.)
DRV - (mfendisk) -- C:\WINDOWS\system32\drivers\mfendisk.sys (McAfee, Inc.)
DRV - (mferkdet) -- C:\WINDOWS\system32\drivers\mferkdet.sys (McAfee, Inc.)
DRV - (mfetdi2k) -- C:\WINDOWS\system32\drivers\mfetdi2k.sys (McAfee, Inc.)
DRV - (cfwids) -- C:\WINDOWS\system32\drivers\cfwids.sys (McAfee, Inc.)
DRV - (mfebopk) -- C:\WINDOWS\system32\drivers\mfebopk.sys (McAfee, Inc.)
DRV - (SipIMNDI) -- C:\WINDOWS\system32\drivers\SipIMNDI.sys (T-Systems International GmbH)
DRV - (DFSYS) -- C:\Programme\T-Online\Dialerschutz-Software\DFSYS.sys (T-Systems International GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (Cdralw2k) -- C:\WINDOWS\System32\drivers\cdralw2k.sys (Sonic Solutions)
DRV - (Cdr4_xp) -- C:\WINDOWS\System32\drivers\cdr4_xp.sys (Sonic Solutions)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (FA312) -- C:\WINDOWS\system32\drivers\FA312nd5.sys (NETGEAR Corp.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2269050&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:2.8
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: KPSA-Home-CSSchmal@EasternGraphics.com:1.0.4
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Programme\McAfee\SiteAdvisor [2010.03.02 18:18:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.13 18:47:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.13 18:47:54 | 000,000,000 | ---D | M]
 
[2010.03.09 20:01:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Extensions
[2010.09.14 17:13:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions
[2010.04.28 18:10:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.05.18 20:36:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.08.20 19:40:10 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.05.18 20:36:48 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.06.10 15:51:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\KPSA-Home-CSSchmal@EasternGraphics.com
[2010.05.19 20:16:34 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\searchplugins\conduit.xml
[2010.03.09 20:00:15 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.04.27 17:16:24 | 000,024,376 | ---- | M] (McAfee, Inc.) -- C:\Programme\Mozilla Firefox\components\Scriptff.dll
[2010.08.04 10:06:12 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.04 10:06:12 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.04 10:06:12 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.04 10:06:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.04 10:06:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\ScriptSn.20100518193146.dll (McAfee, Inc.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Arcor Online]  File not found
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [mcui_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [MobileConnect] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKLM..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME\TomTomHOME.exe (TomTom)
O4 - HKCU..\Run: [qtdgrb] c:\dokumente und einstellungen\florian ackermann\lokale einstellungen\anwendungsdaten\qtdgrb.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Florian Ackermann\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.09 20:18:07 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.07.12 00:59:30 | 000,000,000 | R--D | M] - E:\AutoRun -- [ CDFS ]
O32 - AutoRun File - [2007.10.04 01:36:21 | 001,528,743 | R--- | M] () - E:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2007.08.01 16:00:31 | 000,000,049 | R--- | M] () - E:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{089657fe-bb07-11dd-9d45-00095be1ed7a}\Shell\AutoRun\command - "" = D:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\Shell - "" = AutoRun
O33 - MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\Shell\AutoRun\command - "" = D:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\Shell - "" = AutoRun
O33 - MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\Shell\AutoRun\command - "" = D:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2007.10.04 01:36:21 | 001,528,743 | R--- | M] ()
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\setup_vmc_lite.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk /r \??\I:) -  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.09.15 17:03:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.09.14 17:28:39 | 000,000,000 | ---D | C] -- C:\Trend Micro
[2010.09.14 17:26:21 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.09.13 17:17:30 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Florian Ackermann\Recent
[2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.09.15 18:00:56 | 000,004,640 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_navps.dat
[2010.09.15 18:00:47 | 000,004,337 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.dat
[2010.09.15 17:50:21 | 000,000,860 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.09.15 17:09:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.15 17:02:09 | 000,001,575 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee AntiVirus Plus.lnk
[2010.09.15 17:01:50 | 000,013,688 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.15 17:01:50 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.15 17:01:49 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.15 17:01:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.15 17:01:45 | 1341,706,240 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.14 22:23:25 | 005,767,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\ntuser.dat
[2010.09.14 22:23:25 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\ntuser.ini
[2010.09.14 22:23:18 | 003,746,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.14 22:01:01 | 003,318,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\bitte drucken.docx
[2010.09.14 17:28:40 | 000,001,373 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\HiJackThis.lnk
[2010.08.17 18:45:25 | 000,000,425 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.09.14 22:00:55 | 003,318,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\bitte drucken.docx
[2010.09.14 17:26:21 | 000,001,373 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\HiJackThis.lnk
[2010.07.24 13:05:13 | 000,248,755 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_nav.dat
[2010.07.24 13:05:13 | 000,004,639 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_navps.dat
[2010.07.24 13:05:13 | 000,004,269 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.dat
[2010.07.24 13:04:49 | 000,557,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.exe
[2009.02.05 17:34:53 | 000,000,104 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2009.01.02 22:02:00 | 000,000,658 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.06.23 13:02:02 | 000,097,410 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4
[2008.06.02 20:14:57 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak
[2008.06.02 20:14:57 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak
[2008.06.02 20:14:57 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak
[2008.05.23 17:48:50 | 000,020,270 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceInstaller.xml
[2008.05.07 22:28:34 | 000,000,150 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.04.15 15:49:36 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2008.04.14 21:19:56 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008.04.14 21:19:56 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008.04.09 21:38:14 | 000,057,856 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.12.24 13:47:52 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2007.12.24 13:40:26 | 000,404,992 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2007.12.22 22:02:50 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2007.12.22 21:27:22 | 003,104,256 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2007.12.03 16:34:32 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2007.12.01 13:43:30 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2007.11.29 12:52:36 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2009.02.05 17:24:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2008.06.18 20:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
[2008.06.05 22:02:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
[2008.05.07 22:27:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2008.11.25 17:40:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010.06.07 22:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2009.02.05 17:24:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Buhl Data Service
[2010.05.18 20:36:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\DVDVideoSoftIEHelpers
[2009.05.04 18:23:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\eMule
[2010.08.08 16:41:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\ICQ
[2008.06.18 20:45:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\ICQ Toolbar
[2010.06.10 15:53:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\KPSA-home
[2010.06.10 15:52:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Logs
[2008.11.17 21:40:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\My Games
[2010.06.10 15:52:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\SHD Kreative Planungs-Systeme
[2008.05.07 22:29:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\T-Online
[2010.09.14 19:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\temp
[2010.06.06 20:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Vodafone
 
[color=#E56717]========== Purity Check ==========[/color]
 
 
< End of report >



OTL Extras logfile created on: 15.09.2010 17:54:50 - Run 1
OTL by OldTimer - Version 3.2.12.1     Folder = C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 118,65 Gb Free Space | 79,61% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 4,12 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FLORIAN-075A4A4
Current User Name: Florian Ackermann
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== Firewall Settings ==========[/color]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"F:\eMule\emule.exe" = F:\eMule\emule.exe:*:Enabled:eMule -- File not found
"D:\eMule\emule.exe" = D:\eMule\emule.exe:*:Enabled:eMule -- File not found
"I:\eMule\emule.exe" = I:\eMule\emule.exe:*:Enabled:eMule -- File not found
"C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe" = C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 -- (Firaxis Games)
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- File not found
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe" = C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent -- File not found
"C:\Programme\Sony Ericsson\Update Service\Update Service.exe" = C:\Programme\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service -- ()
"C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe" = C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe:*:Enabled:McAfee Shared Service Host -- (McAfee, Inc.)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Steuer 2009
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4377F918-E6C9-4ECA-A7F5-754B310B7ED8}" = Sid Meier's Civilization 4
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}" = Vodafone Mobile Connect Lite
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME
"{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4
"{DBEA1034-5882-4A88-8033-81C4EF0CFA29}" = Google Toolbar for Internet Explorer
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E89B484C-B913-49A0-959B-89E836001658}" = GEAR 32bit Driver Installer
"{E8C5BD56-F5D8-41D3-8A71-273468FE256A}" = T-Home Dialerschutz-Software
"{EC4455AB-F155-4CC1-A4C5-88F3777F9886}" = Apple Mobile Device Support
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{F958CA02-BB40-4007-894B-258729456EE4}" = QuickTime
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ArtMoney SE_is1" = ArtMoney SE v7.28
"CCleaner" = CCleaner
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.3
"Free WMA to MP3 Converter_is1" = Free WMA to MP3 Converter 1.16
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.5
"FUSSBALL MANAGER 08" = FUSSBALL MANAGER 08
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"hr3.scr" = hr3 ScreenSaver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)
"MSC" = McAfee AntiVirus Plus
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Pausenkatzen Screensaver" = Pausenkatzen Screensaver
"PCI Audio Driver" = PCI Audio Driver
"qtdgrb" = Favorit
"RealPlayer 6.0" = RealPlayer
"SimCity2000CDv1" = SimCity 2000® CD-Collection
"ST6UNST #1" = loizzi KNIFFEL 1.28
"Uninstall_is1" = Uninstall 1.0.0.1
"Update Service" = Update Service
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XP Codec Pack" = XP Codec Pack
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 08.09.2010 15:50:13 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 09.09.2010 14:30:07 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 09.09.2010 16:23:31 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 10.09.2010 08:31:06 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 11.09.2010 12:27:16 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 12.09.2010 14:25:24 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 13.09.2010 10:21:13 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 14.09.2010 10:49:01 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 14.09.2010 15:19:11 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.09.2010 11:02:04 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
[ OSession Events ]
Error - 10.02.2009 15:07:15 | Computer Name = FLORIAN-075A4A4 | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 5786
 seconds with 1500 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 07.09.2010 14:58:42 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 07.09.2010 14:58:42 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 12:48:50 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 12:48:50 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 12:48:50 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 12:48:50 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
 
< End of report >
Seitenanfang Seitenende
15.09.2010, 19:02
Swisstreasure
Moderator

Beiträge: 5694
#4 Nun noch das GMER Log ;)
Seitenanfang Seitenende
15.09.2010, 21:02
Agamann
...neu hier

Themenstarter

Beiträge: 10
#5

Zitat

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-15 21:00:34
Windows 5.1.2600 Service Pack 3
Running: o50cvd3l.exe; Driver: C:\DOKUME~1\FLORIA~1\LOKALE~1\Temp\ffniraow.sys


---- System - GMER 1.0.15 ----

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwCreateKey [0xF7462DB0]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwDeleteKey [0xF7462DC4]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwDeleteValueKey [0xF7462DF0]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xF7462E46]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwOpenKey [0xF7462D9C]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwOpenProcess [0xF7462D74]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwOpenThread [0xF7462D88]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwRenameKey [0xF7462DDA]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwSetSecurityObject [0xF7462E1C]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwSetValueKey [0xF7462E06]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwTerminateProcess [0xF7462E70]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xF7462E5C]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwYieldExecution [0xF7462E30]
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtMapViewOfSection
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtOpenProcess
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtOpenThread
Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtSetSecurityObject

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntoskrnl.exe!ZwOpenKey 80572BDF 1 Byte [E9]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[472] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 017B0000
.text C:\WINDOWS\Explorer.EXE[472] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 017B001B
.text C:\WINDOWS\Explorer.EXE[472] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 017B0FE5
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 01770000
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!VirtualProtectEx 7C801A61 1 Byte [E9]
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 01770065
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 01770F66
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 01770F8D
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 01770FA8
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 01770FCA
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 01770F41
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 01770093
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 017700DA
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 017700C9
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 01770F26
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 01770FB9
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 01770FEF
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 01770076
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 01770040
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 01770025
.text C:\WINDOWS\Explorer.EXE[472] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 017700A4
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 01F0000A
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 01F0004A
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 01F00FB9
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 01F00FD4
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 01F00F8D
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 01F00FE5
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 01F00F9E
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [13, 8A]
.text C:\WINDOWS\Explorer.EXE[472] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 01F0001B
.text C:\WINDOWS\Explorer.EXE[472] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 01EF0FAF
.text C:\WINDOWS\Explorer.EXE[472] msvcrt.dll!system 77BF93C7 5 Bytes JMP 01EF0FCA
.text C:\WINDOWS\Explorer.EXE[472] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 01EF003A
.text C:\WINDOWS\Explorer.EXE[472] msvcrt.dll!_open 77BFF566 5 Bytes JMP 01EF0000
.text C:\WINDOWS\Explorer.EXE[472] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 01EF0FE5
.text C:\WINDOWS\Explorer.EXE[472] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 01EF0029
.text C:\WINDOWS\Explorer.EXE[472] WININET.dll!InternetOpenA 408DD690 5 Bytes JMP 01ED0000
.text C:\WINDOWS\Explorer.EXE[472] WININET.dll!InternetOpenW 408DDB09 5 Bytes JMP 01ED0025
.text C:\WINDOWS\Explorer.EXE[472] WININET.dll!InternetOpenUrlA 408DF3A4 5 Bytes JMP 01ED0FE5
.text C:\WINDOWS\Explorer.EXE[472] WININET.dll!InternetOpenUrlW 40926DDF 5 Bytes JMP 01ED0036
.text C:\WINDOWS\Explorer.EXE[472] WS2_32.dll!socket 71A14211 5 Bytes JMP 01EE0000
.text C:\WINDOWS\system32\svchost.exe[1076] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes JMP 00920000
.text C:\WINDOWS\system32\svchost.exe[1076] ntdll.dll!NtCreateFile + 4 7C91D0B2 1 Byte [84]
.text C:\WINDOWS\system32\svchost.exe[1076] ntdll.dll!NtCreateProcess 7C91D14E 3 Bytes JMP 00920036
.text C:\WINDOWS\system32\svchost.exe[1076] ntdll.dll!NtCreateProcess + 4 7C91D152 1 Byte [84]
.text C:\WINDOWS\system32\svchost.exe[1076] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 3 Bytes JMP 0092001B
.text C:\WINDOWS\system32\svchost.exe[1076] ntdll.dll!NtProtectVirtualMemory + 4 7C91D6F2 1 Byte [84]
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 0091000A
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 009100A7
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00910FB2
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0091008A
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00910FCD
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0091005B
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00910F6B
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00910F7C
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00910F50
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 009100DF
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00910104
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00910FDE
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00910FEF
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00910F97
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 0091004A
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0091002F
.text C:\WINDOWS\system32\svchost.exe[1076] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 009100C4
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00C00025
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00C00F9E
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00C00FD4
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00C00000
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00C0005B
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00C00FE5
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00C00FAF
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [E3, 88] {JECXZ 0xffffffffffffff8a}
.text C:\WINDOWS\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00C00036
.text C:\WINDOWS\system32\svchost.exe[1076] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00BF0F9E
.text C:\WINDOWS\system32\svchost.exe[1076] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00BF0FAF
.text C:\WINDOWS\system32\svchost.exe[1076] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00BF0FD4
.text C:\WINDOWS\system32\svchost.exe[1076] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00BF0FEF
.text C:\WINDOWS\system32\svchost.exe[1076] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00BF0029
.text C:\WINDOWS\system32\svchost.exe[1076] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00BF0018
.text C:\WINDOWS\system32\svchost.exe[1076] WININET.dll!InternetOpenA 408DD690 5 Bytes JMP 00930000
.text C:\WINDOWS\system32\svchost.exe[1076] WININET.dll!InternetOpenW 408DDB09 5 Bytes JMP 00930FE5
.text C:\WINDOWS\system32\svchost.exe[1076] WININET.dll!InternetOpenUrlA 408DF3A4 5 Bytes JMP 0093001B
.text C:\WINDOWS\system32\svchost.exe[1076] WININET.dll!InternetOpenUrlW 40926DDF 5 Bytes JMP 0093002C
.text C:\WINDOWS\system32\svchost.exe[1076] WS2_32.dll!socket 71A14211 5 Bytes JMP 0094000A
.text C:\WINDOWS\system32\services.exe[1192] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00040000
.text C:\WINDOWS\system32\services.exe[1192] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00040036
.text C:\WINDOWS\system32\services.exe[1192] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0004001B
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00E50000
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00E50F97
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00E50FB2
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00E50FC3
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00E50FD4
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00E50FEF
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00E50F66
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00E500B8
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E50F44
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00E50F55
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00E50F33
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00E50076
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00E5001B
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00E500A7
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00E5005B
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00E50036
.text C:\WINDOWS\system32\services.exe[1192] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00E500D3
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00070FD1
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00070069
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00070022
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00070011
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00070FAC
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00070000
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00070058
.text C:\WINDOWS\system32\services.exe[1192] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00070047
.text C:\WINDOWS\system32\services.exe[1192] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00060047
.text C:\WINDOWS\system32\services.exe[1192] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00060036
.text C:\WINDOWS\system32\services.exe[1192] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00060FC6
.text C:\WINDOWS\system32\services.exe[1192] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00060000
.text C:\WINDOWS\system32\services.exe[1192] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 0006001B
.text C:\WINDOWS\system32\services.exe[1192] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00060FE3
.text C:\WINDOWS\system32\services.exe[1192] WS2_32.dll!socket 71A14211 5 Bytes JMP 00050000
.text C:\WINDOWS\system32\lsass.exe[1204] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00FD0000
.text C:\WINDOWS\system32\lsass.exe[1204] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00FD002C
.text C:\WINDOWS\system32\lsass.exe[1204] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00FD0011
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 01020000
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 01020F99
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 0102008E
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0102007D
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 01020FC0
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 01020047
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 01020F77
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 010200B3
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01020F41
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 010200DA
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 01020F26
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 01020062
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 0102001B
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 01020F88
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 01020036
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 01020FE5
.text C:\WINDOWS\system32\lsass.exe[1204] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 01020F52
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 01010FCA
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 01010062
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 0101001B
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 0101000A
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 01010051
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 01010FEF
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 01010FAF
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [24, 89] {AND AL, 0x89}
.text C:\WINDOWS\system32\lsass.exe[1204] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 0101002C
.text C:\WINDOWS\system32\lsass.exe[1204] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00FF0F8B
.text C:\WINDOWS\system32\lsass.exe[1204] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00FF0F9C
.text C:\WINDOWS\system32\lsass.exe[1204] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00FF0FC8
.text C:\WINDOWS\system32\lsass.exe[1204] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00FF0FE3
.text C:\WINDOWS\system32\lsass.exe[1204] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00FF0FAD
.text C:\WINDOWS\system32\lsass.exe[1204] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00FF0000
.text C:\WINDOWS\system32\lsass.exe[1204] WS2_32.dll!socket 71A14211 5 Bytes JMP 00FE0000
.text C:\WINDOWS\system32\svchost.exe[1380] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00FE0FEF
.text C:\WINDOWS\system32\svchost.exe[1380] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00FE0FD4
.text C:\WINDOWS\system32\svchost.exe[1380] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00FE000A
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 02430FEF
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 02430F6D
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 0243006C
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 02430051
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 02430040
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 02430F94
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 0243009A
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 02430F52
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 02430F12
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 02430F2D
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 02430EF7
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 02430025
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 02430FCA
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 0243007D
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 02430000
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 02430FAF
.text C:\WINDOWS\system32\svchost.exe[1380] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 024300AB
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 02420FC3
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 02420F7C
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 02420FD4
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 02420FEF
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 02420F8D
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 0242000A
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 02420F9E
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [65, 8A]
.text C:\WINDOWS\system32\svchost.exe[1380] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 0242002F
.text C:\WINDOWS\system32\svchost.exe[1380] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0241004C
.text C:\WINDOWS\system32\svchost.exe[1380] msvcrt.dll!system 77BF93C7 5 Bytes JMP 02410031
.text C:\WINDOWS\system32\svchost.exe[1380] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 02410016
.text C:\WINDOWS\system32\svchost.exe[1380] msvcrt.dll!_open 77BFF566 5 Bytes JMP 02410FEF
.text C:\WINDOWS\system32\svchost.exe[1380] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 02410FC1
.text C:\WINDOWS\system32\svchost.exe[1380] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 02410FD2
.text C:\WINDOWS\system32\svchost.exe[1380] WS2_32.dll!socket 71A14211 5 Bytes JMP 00FF0FEF
.text C:\WINDOWS\system32\svchost.exe[1452] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00E20000
.text C:\WINDOWS\system32\svchost.exe[1452] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00E2001B
.text C:\WINDOWS\system32\svchost.exe[1452] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00E20FE5
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00E10000
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00E1008C
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00E10F97
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00E10FA8
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00E10065
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00E10036
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00E10F72
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00E100AE
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E10F57
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00E100F0
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00E10115
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00E10FB9
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00E10FEF
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00E1009D
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00E1001B
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00E10FCA
.text C:\WINDOWS\system32\svchost.exe[1452] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00E100CB
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00E50FD4
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00E50076
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00E50FE5
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00E50011
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00E50FC3
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00E50000
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00E5005B
.text C:\WINDOWS\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00E5004A
.text C:\WINDOWS\system32\svchost.exe[1452] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00E40F84
.text C:\WINDOWS\system32\svchost.exe[1452] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00E40F95
.text C:\WINDOWS\system32\svchost.exe[1452] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00E40FC1
.text C:\WINDOWS\system32\svchost.exe[1452] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00E40FE3
.text C:\WINDOWS\system32\svchost.exe[1452] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00E40FA6
.text C:\WINDOWS\system32\svchost.exe[1452] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00E40FD2
.text C:\WINDOWS\system32\svchost.exe[1452] WS2_32.dll!socket 71A14211 5 Bytes JMP 00E30FEF
.text C:\WINDOWS\System32\svchost.exe[1576] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 023E0FE5
.text C:\WINDOWS\System32\svchost.exe[1576] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 023E001B
.text C:\WINDOWS\System32\svchost.exe[1576] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 023E0000
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 023D0000
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 023D0074
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 023D0F75
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 023D0F86
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 023D0F97
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 023D0FC3
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 023D00A7
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 023D0096
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 023D00E4
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 023D00D3
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 023D00FF
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 023D0FA8
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 023D0FE5
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 023D0085
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 023D0FD4
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 023D0025
.text C:\WINDOWS\System32\svchost.exe[1576] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 023D00C2
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 04810FCA
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 04810073
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 04810FEF
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 0481001B
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 04810062
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 04810000
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 04810051
.text C:\WINDOWS\System32\svchost.exe[1576] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 04810036
.text C:\WINDOWS\System32\svchost.exe[1576] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0480007F
.text C:\WINDOWS\System32\svchost.exe[1576] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0480006E
.text C:\WINDOWS\System32\svchost.exe[1576] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 04800038
.text C:\WINDOWS\System32\svchost.exe[1576] msvcrt.dll!_open 77BFF566 5 Bytes JMP 0480000C
.text C:\WINDOWS\System32\svchost.exe[1576] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 04800049
.text C:\WINDOWS\System32\svchost.exe[1576] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 0480001D
.text C:\WINDOWS\System32\svchost.exe[1576] WS2_32.dll!socket 71A14211 5 Bytes JMP 02400000
.text C:\WINDOWS\System32\svchost.exe[1576] WININET.dll!InternetOpenA 408DD690 5 Bytes JMP 023F0FEF
.text C:\WINDOWS\System32\svchost.exe[1576] WININET.dll!InternetOpenW 408DDB09 5 Bytes JMP 023F0000
.text C:\WINDOWS\System32\svchost.exe[1576] WININET.dll!InternetOpenUrlA 408DF3A4 5 Bytes JMP 023F0FCA
.text C:\WINDOWS\System32\svchost.exe[1576] WININET.dll!InternetOpenUrlW 40926DDF 5 Bytes JMP 023F0FAF
.text C:\WINDOWS\system32\svchost.exe[1616] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00640FE5
.text C:\WINDOWS\system32\svchost.exe[1616] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00640FB9
.text C:\WINDOWS\system32\svchost.exe[1616] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00640FD4
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00630FEF
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 0063008A
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 0063006F
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0063005E
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00630FA1
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00630028
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 006300C5
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00630F73
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 006300FB
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 006300E0
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00630F47
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00630043
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00630FDE
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00630F84
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00630FB2
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00630FCD
.text C:\WINDOWS\system32\svchost.exe[1616] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00630F62
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 3 Bytes JMP 0066001E
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyExW + 4 77DA6AB3 1 Byte [88]
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegCreateKeyExW 77DA776C 3 Bytes JMP 00660F90
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegCreateKeyExW + 4 77DA7770 1 Byte [88]
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyExA 77DA7852 3 Bytes JMP 00660FCD
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyExA + 4 77DA7856 1 Byte [88]
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyW 77DA7946 3 Bytes JMP 00660FDE
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyW + 4 77DA794A 1 Byte [88]
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 3 Bytes JMP 00660FA1
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegCreateKeyExA + 4 77DAE9F8 1 Byte [88]
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 3 Bytes JMP 00660FEF
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegOpenKeyA + 4 77DAEFCC 1 Byte [88]
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00660043
.text C:\WINDOWS\system32\svchost.exe[1616] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00660FBC
.text C:\WINDOWS\system32\svchost.exe[1616] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00650FC8
.text C:\WINDOWS\system32\svchost.exe[1616] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00650FD9
.text C:\WINDOWS\system32\svchost.exe[1616] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0065002E
.text C:\WINDOWS\system32\svchost.exe[1616] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00650000
.text C:\WINDOWS\system32\svchost.exe[1616] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00650049
.text C:\WINDOWS\system32\svchost.exe[1616] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 0065001D
.text C:\WINDOWS\system32\svchost.exe[1660] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 009A0FEF
.text C:\WINDOWS\system32\svchost.exe[1660] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 009A000A
.text C:\WINDOWS\system32\svchost.exe[1660] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 009A0FDE
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00990000
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00990F57
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00990F72
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00990F83
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00990036
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00990FA5
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00990F1A
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00990F2B
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00990098
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00990EFF
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00990EEE
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00990F94
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00990011
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00990F3C
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00990FB6
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00990FDB
.text C:\WINDOWS\system32\svchost.exe[1660] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00990073
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 009D0025
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 009D005B
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 009D000A
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 009D0FDE
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 009D004A
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 009D0FEF
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 009D0FA8
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [C0, 88]
.text C:\WINDOWS\system32\svchost.exe[1660] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 009D0FB9
.text C:\WINDOWS\system32\svchost.exe[1660] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 009C003D
.text C:\WINDOWS\system32\svchost.exe[1660] msvcrt.dll!system 77BF93C7 5 Bytes JMP 009C002C
.text C:\WINDOWS\system32\svchost.exe[1660] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 009C0000
.text C:\WINDOWS\system32\svchost.exe[1660] msvcrt.dll!_open 77BFF566 5 Bytes JMP 009C0FEF
.text C:\WINDOWS\system32\svchost.exe[1660] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 009C0011
.text C:\WINDOWS\system32\svchost.exe[1660] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 009C0FC6
.text C:\WINDOWS\system32\svchost.exe[1660] WS2_32.dll!socket 71A14211 5 Bytes JMP 009B0FEF
.text C:\Programme\Mozilla Firefox\plugin-container.exe[1740] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 1040098F C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\WINDOWS\system32\svchost.exe[1748] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00C80000
.text C:\WINDOWS\system32\svchost.exe[1748] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00C80FDB
.text C:\WINDOWS\system32\svchost.exe[1748] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00C8001B
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00C70FEF
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00C70F57
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00C70F68
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00C70F83
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00C70040
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00C70FB9
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00C70095
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00C70084
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C700D2
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00C700C1
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00C70F1E
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00C70FA8
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00C7000A
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00C70067
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00C70FD4
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00C70025
.text C:\WINDOWS\system32\svchost.exe[1748] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00C700B0
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CB0FC0
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CB0047
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CB001B
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CB000A
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CB0036
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CB0FEF
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00CB0F9E
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [EE, 88]
.text C:\WINDOWS\system32\svchost.exe[1748] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CB0FAF
.text C:\WINDOWS\system32\svchost.exe[1748] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CA0066
.text C:\WINDOWS\system32\svchost.exe[1748] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CA0FDB
.text C:\WINDOWS\system32\svchost.exe[1748] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CA003A
.text C:\WINDOWS\system32\svchost.exe[1748] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CA000C
.text C:\WINDOWS\system32\svchost.exe[1748] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CA004B
.text C:\WINDOWS\system32\svchost.exe[1748] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CA0029
.text C:\WINDOWS\system32\svchost.exe[1748] WS2_32.dll!socket 71A14211 5 Bytes JMP 00C9000A
.text C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe[1808] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 62419A20 C:\Programme\Gemeinsame Dateien\McAfee\McProxy\mcproxy.dll (McAfee Proxy Service Module/McAfee, Inc.)
.text C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe[1808] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 62419AE2 C:\Programme\Gemeinsame Dateien\McAfee\McProxy\mcproxy.dll (McAfee Proxy Service Module/McAfee, Inc.)
.text C:\WINDOWS\system32\svchost.exe[1976] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00B80000
.text C:\WINDOWS\system32\svchost.exe[1976] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00B80011
.text C:\WINDOWS\system32\svchost.exe[1976] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B80FE5
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00B70000
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00B70F80
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00B70F9B
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00B7007F
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00B70FB6
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00B70047
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00B700AD
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00B70F65
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00B70F2F
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00B70F4A
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00B70F14
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00B70058
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00B70FEF
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00B70090
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00B70036
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00B70025
.text C:\WINDOWS\system32\svchost.exe[1976] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00B700D2
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00BA0033
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00BA0F91
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00BA0022
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00BA0011
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00BA0058
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00BA0000
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00BA0FB6
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [DD, 88]
.text C:\WINDOWS\system32\svchost.exe[1976] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00BA0FC7
.text C:\WINDOWS\system32\svchost.exe[1976] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00B90FB0
.text C:\WINDOWS\system32\svchost.exe[1976] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00B9003B
.text C:\WINDOWS\system32\svchost.exe[1976] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00B9000C
.text C:\WINDOWS\system32\svchost.exe[1976] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00B90FEF
.text C:\WINDOWS\system32\svchost.exe[1976] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00B90FC1
.text C:\WINDOWS\system32\svchost.exe[1976] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00B90FD2
.text C:\WINDOWS\system32\wuauclt.exe[2036] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 027C0FE5
.text C:\WINDOWS\system32\wuauclt.exe[2036] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 027C0FB9
.text C:\WINDOWS\system32\wuauclt.exe[2036] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 027C0FCA
.text C:\Programme\Mozilla Firefox\firefox.exe[2656] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\Programme\Mozilla Firefox\firefox.exe[2656] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 038E2DA6
.text C:\Programme\Mozilla Firefox\firefox.exe[2656] WS2_32.dll!send 71A14C27 5 Bytes JMP 038E299C
.text C:\Programme\Mozilla Firefox\firefox.exe[2656] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 038E2ADD
.text C:\Programme\Mozilla Firefox\firefox.exe[2656] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 038E2A31
.text C:\Programme\Mozilla Firefox\firefox.exe[2656] WS2_32.dll!WSAGetOverlappedResult 71A20D1B 5 Bytes JMP 038E2C52
.text C:\WINDOWS\System32\svchost.exe[2804] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00090FEF
.text C:\WINDOWS\System32\svchost.exe[2804] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00090FCA
.text C:\WINDOWS\System32\svchost.exe[2804] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00090000
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 001B0FEF
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 001B0093
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 001B0078
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 001B005B
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 001B0FA8
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 001B002F
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 001B0F6F
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 001B00C1
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 001B0108
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 001B00ED
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 001B0119
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 001B004A
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 001B000A
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 001B00A4
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 001B0FC3
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 001B0FD4
.text C:\WINDOWS\System32\svchost.exe[2804] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 001B00D2
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 002A0FAF
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 002A005B
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 002A0FCA
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 002A0000
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 002A0040
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 002A0FE5
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 002A0F9E
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [4D, 88]
.text C:\WINDOWS\System32\svchost.exe[2804] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 002A0025
.text C:\WINDOWS\System32\svchost.exe[2804] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 003F006E
.text C:\WINDOWS\System32\svchost.exe[2804] msvcrt.dll!system 77BF93C7 5 Bytes JMP 003F0049
.text C:\WINDOWS\System32\svchost.exe[2804] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 003F001D
.text C:\WINDOWS\System32\svchost.exe[2804] msvcrt.dll!_open 77BFF566 5 Bytes JMP 003F0FEF
.text C:\WINDOWS\System32\svchost.exe[2804] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 003F0038
.text C:\WINDOWS\System32\svchost.exe[2804] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 003F0000
.text C:\WINDOWS\System32\svchost.exe[2804] WS2_32.dll!socket 71A14211 5 Bytes JMP 009D0000
.text C:\WINDOWS\system32\wuauclt.exe[3000] ntdll.dll!NtCreateFile 7C91D0AE 5 Bytes JMP 00090000
.text C:\WINDOWS\system32\wuauclt.exe[3000] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00090025
.text C:\WINDOWS\system32\wuauclt.exe[3000] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00090FEF
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 001C0FEF
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 001C0F77
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 001C006C
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 001C005B
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 001C004A
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 001C0FB2
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 001C0F4B
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 001C0F5C
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 001C0F26
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 001C00BF
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 001C00E4
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 001C0039
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 001C0FDE
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 001C0087
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 001C0014
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 001C0FC3
.text C:\WINDOWS\system32\wuauclt.exe[3000] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 001C00AE
.text C:\WINDOWS\system32\wuauclt.exe[3000] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 002B0031
.text C:\WINDOWS\system32\wuauclt.exe[3000] msvcrt.dll!system 77BF93C7 5 Bytes JMP 002B0FB0
.text C:\WINDOWS\system32\wuauclt.exe[3000] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 002B000C
.text C:\WINDOWS\system32\wuauclt.exe[3000] msvcrt.dll!_open 77BFF566 5 Bytes JMP 002B0FE3
.text C:\WINDOWS\system32\wuauclt.exe[3000] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 002B0FC1
.text C:\WINDOWS\system32\wuauclt.exe[3000] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 002B0FD2
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 002C0014
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 002C0F83
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 002C0FC3
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 002C0FD4
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 002C0040
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 002C0FEF
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 002C0F9E
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [4F, 88]
.text C:\WINDOWS\system32\wuauclt.exe[3000] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 002C002F

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe[1920] @ C:\WINDOWS\system32\CRYPT32.dll [ADVAPI32.dll!RegQueryValueExW] [004076E0] C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe (McAfee Process Validation Service/McAfee, Inc.)
IAT C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe[1920] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [00407740] C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe (McAfee Process Validation Service/McAfee, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
[/url]


sorry hat etwas länger gedauert
Seitenanfang Seitenende
15.09.2010, 21:41
Swisstreasure
Moderator

Beiträge: 5694
#6 Schritt 1

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.

Code

Favorit
Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Starte nun das System neu!!

Schritt 2

Fixen mit OTL

• Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code

:OTL

PRC - C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.exe ()
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [Arcor Online]  File not found
O4 - HKCU..\Run: [qtdgrb] c:\dokumente und einstellungen\florian ackermann\lokale einstellungen\anwendungsdaten\qtdgrb.exe ()
O32 - AutoRun File - [2007.07.12 00:59:30 | 000,000,000 | R--D | M] - E:\AutoRun -- [ CDFS ]
O32 - AutoRun File - [2007.10.04 01:36:21 | 001,528,743 | R--- | M] () - E:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2007.08.01 16:00:31 | 000,000,049 | R--- | M] () - E:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{089657fe-bb07-11dd-9d45-00095be1ed7a}\Shell\AutoRun\command - "" = D:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\Shell - "" = AutoRun
O33 - MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\Shell\AutoRun\command - "" = D:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\Shell - "" = AutoRun
O33 - MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\Shell\AutoRun\command - "" = D:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2007.10.04 01:36:21 | 001,528,743 | R--- | M] ()
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\setup_vmc_lite.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk /r \??\I:) -  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
[2010.09.15 18:00:56 | 000,004,640 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_navps.dat
[2010.09.15 18:00:47 | 000,004,337 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.dat
[2010.07.24 13:05:13 | 000,248,755 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_nav.dat
[2010.07.24 13:05:13 | 000,004,639 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_navps.dat
[2010.07.24 13:05:13 | 000,004,269 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.dat
[2010.07.24 13:04:49 | 000,557,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.exe
:Services
:Reg
:Files
:Commands
[purity]
[emptytemp]
• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 3

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)


• Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
• Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code

mbr.exe -t > C:\mbr.log & C:\mbr.log
(Enter drücken)
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.
Seitenanfang Seitenende
15.09.2010, 22:15
Agamann
...neu hier

Themenstarter

Beiträge: 10
#7 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Seitenanfang Seitenende
15.09.2010, 22:16
Swisstreasure
Moderator

Beiträge: 5694
#8 Bitte die Schritte der Reihe nach!!
Seitenanfang Seitenende
15.09.2010, 22:31
Agamann
...neu hier

Themenstarter

Beiträge: 10
#9 All processes killed
========== OTL ==========
No active process named qtdgrb.exe was found!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0124123D-61B4-456f-AF86-78C53A0790C5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{0124123D-61B4-456f-AF86-78C53A0790C5} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0124123D-61B4-456f-AF86-78C53A0790C5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Arcor Online not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\qtdgrb not found.
File c:\dokumente und einstellungen\florian ackermann\lokale einstellungen\anwendungsdaten\qtdgrb.exe not found.
File not found.
File move failed. E:\Autorun.exe scheduled to be moved on reboot.
File move failed. E:\Autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{089657fe-bb07-11dd-9d45-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{089657fe-bb07-11dd-9d45-00095be1ed7a}\ not found.
File D:\InstallTomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3449ee50-719d-11df-9ffc-00095be1ed7a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3449ee50-719d-11df-9ffc-00095be1ed7a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3449ee50-719d-11df-9ffc-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3449ee50-719d-11df-9ffc-00095be1ed7a}\ not found.
File D:\setup_vmc_lite.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6072858c-7268-11df-9ffe-00095be1ed7a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6072858c-7268-11df-9ffe-00095be1ed7a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6072858c-7268-11df-9ffe-00095be1ed7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6072858c-7268-11df-9ffe-00095be1ed7a}\ not found.
File D:\setup_vmc_lite.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8b8041b7-8008-11db-a430-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8b8041b7-8008-11db-a430-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8b8041b7-8008-11db-a430-806d6172696f}\ not found.
File move failed. E:\Autorun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\ not found.
File D:\setup_vmc_lite.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk /r \??\I: deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
File C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_navps.dat not found.
File C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.dat not found.
File C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_nav.dat not found.
File C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb_navps.dat not found.
File C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.dat not found.
File C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qtdgrb.exe not found.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Florian Ackermann
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 120029 bytes
->FireFox cache emptied: 18695968 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 18,00 mb

Error: Unable to interpret <Quelle: http://board.protecus.de/t40344.htm#ixzz0zdE2c3P2> in the current context!

OTL by OldTimer - Version 3.2.12.1 log created on 09152010_222214

Files\Folders moved on Reboot...
File move failed. E:\Autorun.exe scheduled to be moved on reboot.
File move failed. E:\Autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...
Seitenanfang Seitenende
15.09.2010, 22:35
Agamann
...neu hier

Themenstarter

Beiträge: 10
#10 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
Seitenanfang Seitenende
15.09.2010, 22:43
Swisstreasure
Moderator

Beiträge: 5694
#11 Schritt 1

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Kommen noch Pop Ups?
Seitenanfang Seitenende
15.09.2010, 22:51
Agamann
...neu hier

Themenstarter

Beiträge: 10
#12

Code

OTL logfile created on: 15.09.2010 22:48:13 - Run 2
OTL by OldTimer - Version 3.2.12.1     Folder = C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 118,82 Gb Free Space | 79,72% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 4,12 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FLORIAN-075A4A4
Current User Name: Florian Ackermann
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt.exe ()
PRC - C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe (Google Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\TomTom HOME\TomTomHOME.exe (TomTom)
PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (SipIMNDI) -- C:\WINDOWS\system32\drivers\SipIMNDI.sys (T-Systems International GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (Cdralw2k) -- C:\WINDOWS\System32\drivers\cdralw2k.sys (Sonic Solutions)
DRV - (Cdr4_xp) -- C:\WINDOWS\System32\drivers\cdr4_xp.sys (Sonic Solutions)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (FA312) -- C:\WINDOWS\system32\drivers\FA312nd5.sys (NETGEAR Corp.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2269050&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: KPSA-Home-CSSchmal@EasternGraphics.com:1.0.4
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.13 18:47:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.13 18:47:54 | 000,000,000 | ---D | M]
 
[2010.03.09 20:01:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Extensions
[2010.09.15 21:37:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions
[2010.04.28 18:10:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.05.18 20:36:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.08.20 19:40:10 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.05.18 20:36:48 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.06.10 15:51:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\extensions\KPSA-Home-CSSchmal@EasternGraphics.com
[2010.05.19 20:16:34 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Mozilla\Firefox\Profiles\4yykzbrc.default\searchplugins\conduit.xml
[2010.03.09 20:00:15 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.04 10:06:12 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.04 10:06:12 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.04 10:06:12 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.04 10:06:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.04 10:06:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
O4 - HKLM..\Run: [MobileConnect] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME\TomTomHOME.exe (TomTom)
O4 - HKCU..\Run: [qcuebt] c:\dokumente und einstellungen\florian ackermann\lokale einstellungen\anwendungsdaten\qcuebt.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Florian Ackermann\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.09 20:18:07 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.07.12 00:59:30 | 000,000,000 | R--D | M] - E:\AutoRun -- [ CDFS ]
O32 - AutoRun File - [2007.10.04 01:36:21 | 001,528,743 | R--- | M] () - E:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2007.08.01 16:00:31 | 000,000,049 | R--- | M] () - E:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8b8041b7-8008-11db-a430-806d6172696f}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2007.10.04 01:36:21 | 001,528,743 | R--- | M] ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.09.15 22:02:36 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.09.14 17:28:39 | 000,000,000 | ---D | C] -- C:\Trend Micro
[2010.09.14 17:26:21 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.09.13 17:17:30 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Florian Ackermann\Recent
[2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.09.15 22:49:32 | 000,005,115 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt_navps.dat
[2010.09.15 22:48:54 | 000,004,175 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt.dat
[2010.09.15 22:23:38 | 000,000,860 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.09.15 22:23:21 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.15 22:23:20 | 000,013,688 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.15 22:23:19 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.15 22:23:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.15 22:23:16 | 1341,706,240 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.15 22:22:23 | 006,029,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\ntuser.dat
[2010.09.15 22:22:23 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\ntuser.ini
[2010.09.15 22:10:45 | 000,077,312 | ---- | M] () -- C:\WINDOWS\System32\mbr.exe
[2010.09.15 22:09:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.15 21:56:36 | 000,483,328 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt.exe
[2010.09.15 21:53:09 | 004,809,484 | -H-- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.14 22:01:01 | 003,318,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\bitte drucken.docx
[2010.09.14 17:28:40 | 000,001,373 | ---- | M] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\HiJackThis.lnk
[2010.08.17 18:45:25 | 000,000,425 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.09.15 22:14:15 | 000,000,298 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\mbr.log
[2010.09.15 22:11:42 | 000,077,312 | ---- | C] () -- C:\WINDOWS\System32\mbr.exe
[2010.09.15 21:56:36 | 000,483,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt.exe
[2010.09.15 21:56:36 | 000,248,755 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt_nav.dat
[2010.09.15 21:56:36 | 000,005,111 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt_navps.dat
[2010.09.15 21:56:36 | 000,004,175 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\qcuebt.dat
[2010.09.14 22:00:55 | 003,318,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\bitte drucken.docx
[2010.09.14 17:26:21 | 000,001,373 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Desktop\HiJackThis.lnk
[2009.02.05 17:34:53 | 000,000,104 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2009.01.02 22:02:00 | 000,000,658 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.06.23 13:02:02 | 000,097,410 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4
[2008.06.02 20:14:57 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak
[2008.06.02 20:14:57 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak
[2008.06.02 20:14:57 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak
[2008.05.23 17:48:50 | 000,020,270 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceInstaller.xml
[2008.05.07 22:28:34 | 000,000,150 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.04.15 15:49:36 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2008.04.14 21:19:56 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008.04.14 21:19:56 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008.04.09 21:38:14 | 000,057,856 | ---- | C] () -- C:\Dokumente und Einstellungen\Florian Ackermann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.12.24 13:47:52 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2007.12.24 13:40:26 | 000,404,992 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2007.12.22 22:02:50 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2007.12.22 21:27:22 | 003,104,256 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2007.12.03 16:34:32 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2007.12.01 13:43:30 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2007.11.29 12:52:36 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2009.02.05 17:24:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2008.06.18 20:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
[2008.06.05 22:02:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
[2010.09.15 21:48:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2008.11.25 17:40:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010.06.07 22:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2009.02.05 17:24:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Buhl Data Service
[2010.05.18 20:36:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\DVDVideoSoftIEHelpers
[2009.05.04 18:23:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\eMule
[2010.08.08 16:41:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\ICQ
[2008.06.18 20:45:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\ICQ Toolbar
[2010.06.10 15:53:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\KPSA-home
[2010.06.10 15:52:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Logs
[2008.11.17 21:40:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\My Games
[2010.06.10 15:52:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\SHD Kreative Planungs-Systeme
[2008.05.07 22:29:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\T-Online
[2010.09.14 19:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\temp
[2010.06.06 20:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Florian Ackermann\Anwendungsdaten\Vodafone
 
[color=#E56717]========== Purity Check ==========[/color]
 
 
< End of report >
Seitenanfang Seitenende
15.09.2010, 22:52
Agamann
...neu hier

Themenstarter

Beiträge: 10
#13

Code

OTL Extras logfile created on: 15.09.2010 22:48:13 - Run 2
OTL by OldTimer - Version 3.2.12.1     Folder = C:\Dokumente und Einstellungen\Florian Ackermann\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 118,82 Gb Free Space | 79,72% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 4,12 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FLORIAN-075A4A4
Current User Name: Florian Ackermann
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== Firewall Settings ==========[/color]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"F:\eMule\emule.exe" = F:\eMule\emule.exe:*:Enabled:eMule -- File not found
"D:\eMule\emule.exe" = D:\eMule\emule.exe:*:Enabled:eMule -- File not found
"I:\eMule\emule.exe" = I:\eMule\emule.exe:*:Enabled:eMule -- File not found
"C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe" = C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 -- (Firaxis Games)
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- File not found
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe" = C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent -- File not found
"C:\Programme\Sony Ericsson\Update Service\Update Service.exe" = C:\Programme\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service -- ()
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Steuer 2009
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4377F918-E6C9-4ECA-A7F5-754B310B7ED8}" = Sid Meier's Civilization 4
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}" = Vodafone Mobile Connect Lite
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME
"{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4
"{DBEA1034-5882-4A88-8033-81C4EF0CFA29}" = Google Toolbar for Internet Explorer
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E89B484C-B913-49A0-959B-89E836001658}" = GEAR 32bit Driver Installer
"{EC4455AB-F155-4CC1-A4C5-88F3777F9886}" = Apple Mobile Device Support
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{F958CA02-BB40-4007-894B-258729456EE4}" = QuickTime
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ArtMoney SE_is1" = ArtMoney SE v7.28
"CCleaner" = CCleaner
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.3
"Free WMA to MP3 Converter_is1" = Free WMA to MP3 Converter 1.16
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.5
"FUSSBALL MANAGER 08" = FUSSBALL MANAGER 08
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"hr3.scr" = hr3 ScreenSaver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Pausenkatzen Screensaver" = Pausenkatzen Screensaver
"PCI Audio Driver" = PCI Audio Driver
"qcuebt" = Favorit
"RealPlayer 6.0" = RealPlayer
"SimCity2000CDv1" = SimCity 2000® CD-Collection
"ST6UNST #1" = loizzi KNIFFEL 1.28
"Uninstall_is1" = Uninstall 1.0.0.1
"Update Service" = Update Service
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XP Codec Pack" = XP Codec Pack
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 15.09.2010 14:24:01 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.09.2010 14:51:30 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.09.2010 15:18:39 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.09.2010 15:50:49 | Computer Name = FLORIAN-075A4A4 | Source = McLogEvent | ID = 5004
Description = 
 
Error - 15.09.2010 15:50:49 | Computer Name = FLORIAN-075A4A4 | Source = McLogEvent | ID = 5022
Description = 
 
Error - 15.09.2010 15:50:49 | Computer Name = FLORIAN-075A4A4 | Source = McLogEvent | ID = 5004
Description = 
 
Error - 15.09.2010 15:50:49 | Computer Name = FLORIAN-075A4A4 | Source = McLogEvent | ID = 5022
Description = 
 
Error - 15.09.2010 15:54:32 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.09.2010 16:04:02 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.09.2010 16:23:31 | Computer Name = FLORIAN-075A4A4 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
[ OSession Events ]
Error - 10.02.2009 15:07:15 | Computer Name = FLORIAN-075A4A4 | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 5786
 seconds with 1500 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 14.09.2010 12:48:50 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 12:48:50 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 14.09.2010 13:12:34 | Computer Name = FLORIAN-075A4A4 | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 15.09.2010 16:02:37 | Computer Name = FLORIAN-075A4A4 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Apple Mobile Device" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 15.09.2010 16:02:37 | Computer Name = FLORIAN-075A4A4 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Vodafone Mobile Connect Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000
 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 15.09.2010 16:22:14 | Computer Name = FLORIAN-075A4A4 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Apple Mobile Device" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 15.09.2010 16:22:14 | Computer Name = FLORIAN-075A4A4 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Vodafone Mobile Connect Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000
 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
 
< End of report >
bis jetzt hat sich noch nichts weiter getan.
Seitenanfang Seitenende
15.09.2010, 23:02
Agamann
...neu hier

Themenstarter

Beiträge: 10
#14 habe gerade festgestellt das immer noch pop ups kommen
Seitenanfang Seitenende
16.09.2010, 19:17
Swisstreasure
Moderator

Beiträge: 5694
#15 Navilog1 - Automatische Bereinigung mit Option 1

Bitte lade Navilog1 von IL-MAFIOSO herunter.
Speichere es auf dem Desktop, nicht woanders hin!
Das Programm ist geeignet für Windows 2000/XP/Vista und Windows 7 (auch 64Bit).
Navilog1.exe wird von einigen Antiviren- und/oder Firewall-Programmen als sogenanntes Risktool eingestuft.
Es ist kein Virus, sondern ein Programm zur Bereinigung einer Infizierung.

• Schließe alle offenen Fenster und Anwendungen und speichere offene Dokumente.
• Doppelklicke das Navilog1-Icon auf dem Desktop, um das Tool zu installieren und zu starten.
• Drücke 4 für Deutsch im Sprachenmenü.
• Drücke eine beliebige Taste, immer wenn dazu aufgefordert wird.
• Drücke 1 im nächsten Menü, um den Suchlauf und die automatische Bereinigung zu starten. Bestätige mit Enter.
• Bei Funden wird das Programm darauf hinweisen, dass der PC neu gestartet wird.
• Falls Dein PC nicht neu startet, mache einen manuellen Neustart.
• Wähle Dein normales Benutzerprofil.
• Warte auf die Nachricht ***Scan beendet ....***
Geduld, das kann etwas dauern.
• Ein neues Dokument wird erstellt und öffnet sich: C:\cleannavi.txt.
• Bitte füge den Inhalt dieser Datei in Deine nächste Antwort ein.
• Dein Desktop wird nun wieder erscheinen.
Im Falle eines Desktop-Verlustes, betätige Strg+Alt+Entf und starte die Explorer.exe als einen neuen Task.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 12