RootKit Virus: RunOnce: KeApplet Eintrag in Registry |
||
---|---|---|
#0
| ||
24.01.2012, 06:57
Member
Beiträge: 73 |
||
|
||
24.01.2012, 06:57
Member
Themenstarter Beiträge: 73 |
#2
OTL.log:
OTL logfile created on: 23.01.2012 21:16:12 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = c:\_10 Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,36 Gb Available Physical Memory | 68,27% Memory free 4,85 Gb Paging File | 4,28 Gb Available in Paging File | 88,21% Paging File free Paging file location(s): C:\pagefile.sys 3072 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 124,15 Gb Total Space | 30,80 Gb Free Space | 24,81% Space Free | Partition Type: NTFS Drive D: | 3,84 Gb Total Space | 0,19 Gb Free Space | 5,02% Space Free | Partition Type: FAT32 Drive E: | 236,49 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive F: | 104,89 Gb Total Space | 1,25 Gb Free Space | 1,19% Space Free | Partition Type: NTFS Computer Name: XP-798BF17A12A1 | User Name: ingo | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days [color=#E56717]========== Processes (SafeList) ==========[/color] PRC - [2012.01.23 14:08:42 | 000,584,192 | ---- | M] (OldTimer Tools) -- c:\_10\OTL.exe PRC - [2011.07.01 09:57:10 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.27 18:36:00 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.04.22 13:21:10 | 000,247,728 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe PRC - [2011.04.22 13:21:10 | 000,092,592 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe PRC - [2011.03.21 22:10:00 | 001,230,704 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe PRC - [2010.11.05 17:10:38 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 20:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2010.01.11 23:46:44 | 000,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2006.02.15 16:16:02 | 000,581,693 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe PRC - [2006.02.15 16:14:44 | 001,265,748 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe PRC - [2006.02.15 15:43:16 | 000,892,928 | ---- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe PRC - [2006.02.14 11:56:08 | 000,122,880 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Programme\HPQ\HP ProtectTools Security Manager\pthosttr.exe PRC - [2006.02.06 22:51:18 | 000,126,976 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Programme\HPQ\HP ProtectTools Security Manager\PTServs.exe PRC - [2006.01.20 11:20:00 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe PRC - [2006.01.16 22:01:46 | 000,053,248 | ---- | M] (Hewlett-Packard Corporation) -- C:\WINDOWS\system32\accelerometerST.exe PRC - [2006.01.10 13:23:16 | 000,136,736 | ---- | M] (Infineon Technologies AG) -- C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe PRC - [2005.12.23 12:44:26 | 000,491,606 | ---- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe PRC - [2005.08.31 05:20:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE PRC - [2005.08.19 15:22:10 | 000,397,312 | ---- | M] (Infineon Technologies AG) -- C:\Programme\ProtectTools\Embedded Security Software\SpTNA.exe PRC - [2003.09.12 02:00:00 | 000,099,840 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0K2.EXE PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [color=#E56717]========== Modules (No Company Name) ==========[/color] MOD - [2011.07.21 14:12:30 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2011.03.21 22:10:36 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll MOD - [2011.03.21 22:10:00 | 001,230,704 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2007.08.23 11:15:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll MOD - [2006.02.15 16:17:26 | 000,053,248 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll MOD - [2006.02.15 15:43:16 | 000,892,928 | ---- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe MOD - [2005.12.23 12:44:26 | 000,491,606 | ---- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe MOD - [2004.06.01 10:39:56 | 000,094,274 | R--- | M] () -- C:\WINDOWS\system32\HPBHEALR.DLL MOD - [2002.05.28 18:11:04 | 000,122,880 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll [color=#E56717]========== Win32 Services (SafeList) ==========[/color] SRV - [2011.07.01 09:57:10 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.04.27 18:36:00 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.04.22 13:21:10 | 000,092,592 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService) SRV - [2010.06.23 21:55:53 | 001,352,832 | ---- | M] (Lavasoft) [On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service) SRV - [2006.01.20 11:20:00 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM) [color=#E56717]========== Driver Services (SafeList) ==========[/color] DRV - [2011.07.01 09:57:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.01 09:57:12 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.10.22 15:35:45 | 000,005,152 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\io.sys -- (io.sys) DRV - [2010.08.31 11:43:36 | 000,195,968 | ---- | M] (Jungo) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\windrvr6.sys -- (WinDriver6) DRV - [2010.06.23 21:56:00 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd) DRV - [2009.05.11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.04.13 19:46:07 | 000,025,344 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sonydcam.sys -- (sonydcam) DRV - [2007.11.20 18:35:48 | 000,049,792 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl) DRV - [2007.05.31 17:25:08 | 000,091,904 | R--- | M] (The Imaging Source Europe GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tisdcam_4010.sys -- (TISDCam) DRV - [2007.03.20 10:33:26 | 000,028,672 | ---- | M] (http://libusb-win32.sourceforge.net) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\libusb0.sys -- (libusb0) DRV - [2007.01.25 16:45:02 | 000,006,784 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\whfltr2k.sys -- (whfltr2k) DRV - [2006.02.15 15:59:52 | 000,401,664 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio) DRV - [2006.02.15 15:56:58 | 001,342,570 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL) DRV - [2006.02.15 15:54:46 | 000,030,363 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver) DRV - [2006.02.15 15:54:10 | 000,057,096 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB) DRV - [2006.02.15 15:51:22 | 000,148,168 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS) DRV - [2006.01.10 01:00:04 | 000,022,016 | ---- | M] (Hewlett-Packard Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Accelerometer.sys -- (Accelerometer) DRV - [2006.01.10 01:00:04 | 000,017,920 | ---- | M] (Hewlett-Packard Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\hpdskflt.sys -- (hpdskflt) DRV - [2006.01.04 01:00:10 | 001,035,008 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV) DRV - [2006.01.04 01:00:10 | 000,718,464 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2006.01.04 01:00:10 | 000,201,600 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL) DRV - [2005.12.19 09:21:00 | 001,428,096 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R) DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2005.10.25 19:10:44 | 000,035,488 | ---- | M] (Infineon Technologies AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\psd.sys -- (PersonalSecureDrive) DRV - [2005.09.20 10:30:56 | 000,162,432 | ---- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21) DRV - [2005.09.19 13:24:20 | 000,005,760 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EabUsb.sys -- (eabusb) DRV - [2005.09.19 13:24:10 | 000,009,344 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CPQBttn.sys -- (HBtnKey) DRV - [2005.09.19 13:23:52 | 000,007,808 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\eabfiltr.sys -- (eabfiltr) DRV - [2005.08.31 05:20:00 | 000,094,332 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM) DRV - [2005.08.31 05:20:00 | 000,087,036 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M) DRV - [2005.08.31 05:20:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M) DRV - [2005.08.31 05:20:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM) DRV - [2005.08.31 05:20:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM) DRV - [2005.08.31 05:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM) DRV - [2005.08.31 05:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN) DRV - [2005.08.25 12:16:52 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM) DRV - [2005.08.25 12:16:16 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N) DRV - [2005.06.10 14:26:00 | 000,035,968 | ---- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM) DRV - [2005.05.31 11:46:26 | 000,087,936 | R--- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gtipci21.sys -- (GTIPCI21) DRV - [2005.03.30 10:12:38 | 000,014,544 | ---- | M] (EnTech Taiwan) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TVicPort.sys -- (TVicPort) DRV - [2004.02.13 02:20:30 | 000,008,608 | R--- | M] (Hi-Lo Systems.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ALL100.sys -- (ALL100) Hi-Lo Systems -- ALL-100 USB Device Driver (ALL100.SYS) [color=#E56717]========== Standard Registry (SafeList) ==========[/color] [color=#E56717]========== Internet Explorer ==========[/color] IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = websweeper.atb-potsdam.de:8080 [color=#E56717]========== FireFox ==========[/color] FF - prefs.js..browser.search.defaultenginename: "foxsearch" FF - prefs.js..browser.search.order.1: "foxsearch" FF - prefs.js..browser.search.selectedEngine: "foxsearch" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..extensions.enabledItems: anttoolbar@ant.com:2.4.5 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.8 FF - prefs.js..extensions.enabledItems: firefox@red-cog.com:2.8 FF - prefs.js..extensions.enabledItems: max@subfighter.com:1.0.3 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.2.3 FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.3.7 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 FF - prefs.js..extensions.enabledItems: {84b24861-62f6-364b-eba5-2e5e2061d7e6}:0.9.3 FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - user.js..browser.search.selectedEngine: "foxsearch" FF - user.js..browser.search.order.1: "foxsearch" FF - user.js..browser.search.defaultenginename: "foxsearch" FF - user.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.448: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.01.23 00:40:51 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.21 22:30:50 | 000,000,000 | ---D | M] [2010.07.02 20:51:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Extensions [2010.07.02 20:51:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2012.01.22 23:06:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions [2012.01.10 23:58:22 | 000,000,000 | ---D | M] (FlashGot) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} [2010.11.04 17:12:12 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.12.21 22:48:24 | 000,000,000 | ---D | M] (mediaplayerconnectivity) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{84b24861-62f6-364b-eba5-2e5e2061d7e6} [2011.12.25 23:45:18 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2011.12.21 22:42:22 | 000,000,000 | ---D | M] (Ant Video Downloader) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\anttoolbar@ant.com [2010.09.30 11:44:07 | 000,000,000 | ---D | M] (Embedded Objects) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\firefox@red-cog.com [2009.12.05 01:43:45 | 000,000,000 | ---D | M] (Flash Video Resources Downloader) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\max@subfighter.com [2011.08.28 17:37:09 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\youtube2mp3@mondayx.de [2010.09.17 09:28:45 | 000,001,067 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\searchplugins\internet-archive.xml [2012.01.22 23:06:50 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.07.01 20:10:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.14 08:44:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.10.21 10:53:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.01.01 21:55:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} [2011.03.02 09:19:33 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2011.08.12 06:14:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} [2009.12.05 00:10:45 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2010.01.11 23:47:09 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMME\REAL\REALPLAYER\BROWSERRECORD\FIREFOX\EXT [2011.05.04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2010.03.19 08:23:30 | 000,686,592 | ---- | M] (Synatix GmbH) -- C:\Programme\mozilla firefox\plugins\npmieze.dll [2011.03.16 01:18:20 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.03.16 01:18:20 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.04.16 20:41:17 | 000,000,143 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\foxsearch.src [2011.03.16 01:18:20 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.03.16 01:18:20 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.03.16 01:18:20 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions) O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\accelerometerST.exe (Hewlett-Packard Corporation) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\Cpqset.exe () O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) O4 - HKLM..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDFDrucker\PDFPrintBackend.exe () O4 - HKLM..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE (Hewlett-Packard Development Company, L.P.) O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe () O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe () O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.) O4 - HKLM..\Run: [WheelMouse] C:\Advanced Wheel Mouse\wh_exec.exe () O4 - HKCU..\Run: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe (Orb Networks) O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation) O4 - HKCU..\RunOnce: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe (Orb Networks) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O15 - HKCU\..Trusted Domains: adobe.com ([get] http in Vertrauenswürdige Sites) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab (Silverwire Image Uploader Control) O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3E9FD294-F47C-4AA6-A48C-3BE8902D554B}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\IfxWlxEN: DllName - (IfxWlxEN.dll) - C:\WINDOWS\System32\IfxWlxEN.dll (Infineon Technologies AG) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.10.29 20:38:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2001.07.27 22:07:00 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ] O32 - AutoRun File - [2004.04.30 14:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ] O32 - Unable to obtain root file information for disk F:\ O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell - "" = AutoRun O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell\AutoRun\command - "" = G:\DPFMate.exe O34 - HKLM BootExecute: (autocheck autochk *) O34 - HKLM BootExecute: (lsdelete) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* [color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color] [2012.01.23 20:56:55 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2012.01.23 20:56:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Startmenü\Programme\HiJackThis [2012.01.23 20:55:25 | 000,000,000 | ---D | C] -- C:\_10 [2012.01.23 20:22:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\vlc [2012.01.23 20:13:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ICQ [2012.01.23 09:08:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Skype [2012.01.23 08:54:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Search [2012.01.23 08:06:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\WinRAR [2012.01.23 07:52:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TeamViewer [2012.01.23 07:43:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search [2012.01.22 00:51:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Google Inc [2012.01.12 00:15:16 | 000,000,000 | ---D | C] -- C:\Tom_Jerry [2012.01.10 22:34:18 | 000,000,000 | ---D | C] -- C:\_grim [2012.01.05 19:33:42 | 000,000,000 | ---D | C] -- C:\Programme\SDP Multimedia [2012.01.05 19:33:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SDP Multimedia [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [color=#E56717]========== Files - Modified Within 30 Days ==========[/color] [2012.01.23 20:56:55 | 000,001,982 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis.lnk [2012.01.23 20:56:31 | 001,402,880 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis-2-04.msi [2012.01.23 20:55:52 | 000,115,129 | -H-- | M] () -- C:\treeinfo.wc [2012.01.23 16:54:08 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job [2012.01.23 08:08:33 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\wdrpgp.sys [2012.01.22 22:04:16 | 000,001,828 | -H-- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\Default.rdp [2012.01.22 21:24:56 | 000,121,648 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001 [2012.01.20 19:24:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.01.20 19:23:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.01.20 19:23:26 | 2146,881,536 | -HS- | M] () -- C:\hiberfil.sys [2012.01.12 22:43:33 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.01.10 23:25:48 | 000,000,923 | ---- | M] () -- C:\WINDOWS\goldwave.ini [2012.01.08 17:53:13 | 000,121,648 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat [2012.01.05 22:26:02 | 335,013,484 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1622-5401.wm.hq.wmv [2012.01.05 20:03:39 | 356,925,484 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1535-2801.wm.hq.wmv [2012.01.05 19:33:42 | 000,000,828 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SDP Downloader.lnk [2012.01.05 08:39:26 | 001,384,960 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Desktop\SDP_v2_3_0.msi [2012.01.03 16:45:06 | 000,106,761 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\probes_Pay.pdf [2012.01.01 18:32:36 | 000,531,602 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.01.01 18:32:36 | 000,505,976 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.01.01 18:32:36 | 000,107,036 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.01.01 18:32:36 | 000,089,440 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.01.01 04:20:55 | 000,278,944 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [color=#E56717]========== Files Created - No Company Name ==========[/color] [2012.01.23 20:56:55 | 000,001,982 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis.lnk [2012.01.23 20:56:28 | 001,402,880 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis-2-04.msi [2012.01.23 08:08:33 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\wdrpgp.sys [2012.01.05 22:00:10 | 335,013,484 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1622-5401.wm.hq.wmv [2012.01.05 19:36:05 | 356,925,484 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1535-2801.wm.hq.wmv [2012.01.05 19:33:42 | 000,000,828 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SDP Downloader.lnk [2012.01.05 18:44:19 | 001,384,960 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Desktop\SDP_v2_3_0.msi [2012.01.03 16:45:18 | 000,106,761 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\probes_Pay.pdf [2011.12.01 19:23:42 | 000,038,406 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Microsoft Excel.ADR [2011.10.21 14:16:55 | 000,147,968 | R--- | C] () -- C:\WINDOWS\System32\DeBayerTransform.dll [2011.10.21 14:16:55 | 000,005,632 | R--- | C] () -- C:\WINDOWS\System32\drvcoinst1.dll [2011.08.11 08:13:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Title.INI [2011.06.27 14:14:15 | 000,000,028 | ---- | C] () -- C:\WINDOWS\MotionDVSTUDIO.INI [2011.06.26 06:31:33 | 000,000,213 | ---- | C] () -- C:\WINDOWS\PCWGXDRV.INI [2011.06.26 06:31:33 | 000,000,020 | ---- | C] () -- C:\WINDOWS\LOGINPUT.INI [2011.05.27 22:34:54 | 001,663,653 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-448539723-1177238915-725345543-1005-0.dat [2011.05.27 22:34:54 | 000,275,654 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2011.03.10 21:01:51 | 000,000,020 | ---- | C] () -- C:\WINDOWS\WINCHESS.INI [2010.10.26 17:32:33 | 000,000,916 | ---- | C] () -- C:\WINDOWS\wiso.ini [2010.10.22 15:35:45 | 000,005,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\io.sys [2010.08.29 22:58:18 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll [2010.06.23 22:11:58 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe [2010.02.02 23:27:58 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.02.02 23:27:58 | 000,020,894 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Music Converter.dat [2010.01.31 21:57:04 | 000,001,181 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2010.01.31 20:46:51 | 000,000,923 | ---- | C] () -- C:\WINDOWS\goldwave.ini [2010.01.26 23:37:44 | 000,094,720 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.01.09 14:38:47 | 000,264,192 | ---- | C] () -- C:\WINDOWS\System32\midas.dll [2010.01.08 20:30:54 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.01.08 00:42:42 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009.12.17 13:59:36 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.12.05 01:37:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.11.23 19:20:46 | 000,000,060 | ---- | C] () -- C:\WINDOWS\System32\SYSDRV.DAT [2009.10.31 12:43:32 | 000,121,648 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat [2009.10.29 21:38:02 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2009.10.29 21:38:02 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2009.10.29 21:38:02 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2009.10.29 21:38:02 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2009.10.29 21:38:02 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2009.10.29 21:38:01 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2009.10.29 21:35:07 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\std201mt.dll [2009.10.29 21:32:40 | 000,000,244 | ---- | C] () -- C:\WINDOWS\wininit.ini [2009.10.29 21:30:20 | 000,094,274 | R--- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2009.10.29 21:20:53 | 000,030,064 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2009.10.29 20:42:00 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009.10.29 20:35:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009.10.29 20:26:04 | 000,004,361 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.10.29 20:24:52 | 000,278,944 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007.08.23 11:15:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.08.23 11:15:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2007.08.23 11:15:00 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.08.23 11:15:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2007.08.23 11:15:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.08.23 11:15:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.08.23 11:15:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2007.08.23 11:15:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2007.01.25 16:45:02 | 000,006,784 | ---- | C] () -- C:\WINDOWS\System32\drivers\whfltr2k.sys [2007.01.22 09:24:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini [2006.02.28 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2006.02.28 13:00:00 | 000,531,602 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006.02.28 13:00:00 | 000,505,976 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006.02.28 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2006.02.28 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2006.02.28 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2006.02.28 13:00:00 | 000,107,036 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006.02.28 13:00:00 | 000,089,440 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006.02.28 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2006.02.28 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2006.02.28 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2006.02.28 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2006.02.28 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2006.02.28 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2006.02.15 16:04:52 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll [2004.01.13 19:46:34 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2002.05.28 19:55:42 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2002.05.28 19:54:40 | 000,004,605 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll [1998.05.07 03:10:00 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\ODMA32.dll [color=#E56717]========== LOP Check ==========[/color] [2010.10.26 17:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2011.06.26 06:31:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CwGet [2010.05.21 19:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRITZ! [2009.11.23 19:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon [2011.06.27 14:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic [2010.07.02 20:52:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2010.10.04 22:10:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2010.05.24 10:12:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6} [2011.04.12 20:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\.config [2011.05.27 21:43:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Atmel [2010.10.26 17:33:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Buhl Data Service [2010.01.07 23:01:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\CadSoft [2010.10.04 22:16:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\EPSON [2010.01.06 23:20:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Foxit Software [2010.05.21 19:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\FRITZ! [2010.01.09 15:13:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GetRightToGo [2009.12.05 01:24:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GHISLER [2010.09.17 09:44:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GrabPro [2011.11.05 23:59:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\gtk-2.0 [2011.04.16 21:54:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Gutscheinmieze [2011.10.21 14:26:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\IC Capture.AS 2.0 [2012.01.23 20:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ICQ [2009.12.04 23:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Infineon [2010.01.04 18:04:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\InterVideo [2010.01.07 23:28:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Leadertech [2011.05.26 21:06:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\MCS Electronics [2010.09.17 21:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Orbit [2011.11.06 00:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\PapDesigner [2010.09.17 09:44:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ProgSense [2010.01.31 23:43:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\SampleView [2010.09.28 22:31:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Scilab [2012.01.23 08:06:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TeamViewer [2010.07.02 20:51:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TomTom [2011.07.13 23:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\VisualAssist [2012.01.23 20:38:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search [2012.01.23 20:30:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Search [2012.01.23 16:54:08 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job [color=#E56717]========== Purity Check ==========[/color] [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< %SYSTEMDRIVE%\*. >[/color] [2011.07.01 01:08:27 | 000,000,000 | ---D | M] -- C:\123 [2010.10.29 22:05:40 | 000,000,000 | ---D | M] -- C:\27eaed226296dcb6e6959785e03765c7 [2010.11.12 11:08:12 | 000,000,000 | ---D | M] -- C:\Advanced Wheel Mouse [2011.04.09 18:22:56 | 000,000,000 | ---D | M] -- C:\anja [2010.12.29 12:10:13 | 000,000,000 | ---D | M] -- C:\Anja.bld [2011.01.20 01:21:35 | 000,000,000 | ---D | M] -- C:\Basic Element - The Truth (2009) [2012.01.23 20:56:55 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2011.07.24 21:44:46 | 000,000,000 | ---D | M] -- C:\cv310 [2011.10.21 22:31:21 | 000,000,000 | ---D | M] -- C:\DCIM [2011.11.15 22:38:36 | 000,000,000 | ---D | M] -- C:\Deflekto [2011.08.21 21:26:18 | 000,000,000 | ---D | M] -- C:\Deflektor [2009.12.04 23:54:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2010.09.17 21:15:07 | 000,000,000 | ---D | M] -- C:\Downloads [2011.10.31 00:43:09 | 000,000,000 | ---D | M] -- C:\dw [2010.10.04 22:08:46 | 000,000,000 | ---D | M] -- C:\EPSON [2011.08.02 23:01:21 | 000,000,000 | ---D | M] -- C:\fotos [2011.11.08 22:46:36 | 000,000,000 | ---D | M] -- C:\Fract [2010.12.29 12:10:33 | 000,000,000 | ---D | M] -- C:\Hardware.bld [2011.10.11 21:51:18 | 000,000,000 | ---D | M] -- C:\Hoerspiele [2010.01.22 23:08:43 | 000,000,000 | ---D | M] -- C:\IMGSTAR2 [2011.09.19 07:17:14 | 000,000,000 | ---D | M] -- C:\karte [2010.12.29 12:10:00 | 000,000,000 | ---D | M] -- C:\Kosmos.bld [2011.02.19 19:57:29 | 000,000,000 | ---D | M] -- C:\mediathek [2009.12.17 13:44:54 | 000,000,000 | RH-D | M] -- C:\MSOCache [2011.02.20 12:42:56 | 000,000,000 | ---D | M] -- C:\Norwegen.bld [2011.02.15 21:12:25 | 000,000,000 | ---D | M] -- C:\nwg [2011.05.27 21:46:08 | 000,000,000 | ---D | M] -- C:\Program Files [2012.01.23 20:56:55 | 000,000,000 | R--D | M] -- C:\Programme [2011.10.11 21:55:17 | 000,000,000 | ---D | M] -- C:\Prog_Ingo [2011.10.07 22:36:51 | 000,000,000 | ---D | M] -- C:\Prog_ok [2010.01.05 23:50:32 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.06.29 23:46:28 | 000,000,000 | ---D | M] -- C:\RK_MP3 [2011.10.31 00:27:21 | 000,000,000 | ---D | M] -- C:\saq [2011.09.12 21:43:57 | 000,000,000 | ---D | M] -- C:\scilab.tut [2011.10.11 20:22:09 | 000,000,000 | ---D | M] -- C:\sciUpdate [2010.07.27 21:41:25 | 000,000,000 | ---D | M] -- C:\Spectrum [2011.11.09 22:57:56 | 000,000,000 | ---D | M] -- C:\Studer [2009.11.23 19:19:38 | 000,000,000 | ---D | M] -- C:\swsetup [2012.01.23 08:33:04 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2009.11.23 19:20:43 | 000,000,000 | ---D | M] -- C:\SYSTEM.SAV [2009.12.05 00:05:46 | 000,000,000 | ---D | M] -- C:\temp [2011.07.28 21:05:19 | 000,000,000 | ---D | M] -- C:\test [2012.01.12 01:06:10 | 000,000,000 | ---D | M] -- C:\Tom_Jerry [2012.01.19 22:58:34 | 000,000,000 | ---D | M] -- C:\WINDOWS [2011.02.14 10:31:43 | 000,000,000 | ---D | M] -- C:\Winter2010_2011.bld [2011.11.06 09:55:49 | 000,000,000 | ---D | M] -- C:\_ [2012.01.23 21:11:37 | 000,000,000 | ---D | M] -- C:\_10 [2011.01.15 00:48:14 | 000,000,000 | ---D | M] -- C:\_a [2011.07.31 18:14:33 | 000,000,000 | ---D | M] -- C:\_combi [2012.01.12 00:09:51 | 000,000,000 | ---D | M] -- C:\_grim [2011.05.11 21:55:02 | 000,000,000 | ---D | M] -- C:\__herm01 [2011.07.20 14:04:14 | 000,000,000 | ---D | M] -- C:\__hndy [2011.01.26 12:15:29 | 000,000,000 | ---D | M] -- C:\___ApfInfo [2012.01.22 18:21:14 | 000,000,000 | ---D | M] -- C:\____Ebay_BLD [2011.01.20 01:18:36 | 000,000,000 | ---D | M] -- C:\____mi [2011.01.07 22:24:00 | 000,000,000 | ---D | M] -- C:\____mist [2011.12.03 20:08:01 | 000,000,000 | ---D | M] -- C:\_____temp [2011.11.01 23:22:14 | 000,000,000 | ---D | M] -- C:\_______stefan [color=#A23BEC]< %PROGRAMFILES%\*.exe >[/color] Invalid Environment Variable: LOCALAPPDATA [color=#A23BEC]< %systemroot%\*. /mp /s >[/color] [color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color] [2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [color=#A23BEC]< MD5 for: REGEDIT.EXE >[/color] [2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe [color=#A23BEC]< MD5 for: USERINIT.EXE >[/color] [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe [color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color] [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe [color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color] [color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-01-19 07:19:38 < End of report > |
|
|
||
24.01.2012, 06:58
Member
Themenstarter Beiträge: 73 |
#3
gmer_first:
GMER 1.0.15.15641 - http://www.gmer.net Rootkit quick scan 2012-01-23 21:23:36 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM250HI rev.2AC101C4 Running: 7e300443.exe; Driver: C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.) ---- Processes - GMER 1.0.15 ---- Process hidden process (*** hidden *** ) 18876 Process hidden process (*** hidden *** ) 37424 Process hidden process (*** hidden *** ) 40668 ---- EOF - GMER 1.0.15 ---- gmer: GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-01-24 06:23:48 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM250HI rev.2AC101C4 Running: 7e300443.exe; Driver: C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys ---- System - GMER 1.0.15 ---- SSDT F7AD7DC6 ZwCreateKey SSDT F7AD7DBC ZwCreateThread SSDT F7AD7DCB ZwDeleteKey SSDT F7AD7DD5 ZwDeleteValueKey SSDT F7AD7DDA ZwLoadKey SSDT F7AD7DA8 ZwOpenProcess SSDT F7AD7DAD ZwOpenThread SSDT F7AD7DE4 ZwReplaceKey SSDT F7AD7DDF ZwRestoreKey SSDT F7AD7DD0 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF65DA360, 0x305AC7, 0xE8000020] init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF63F6EBF] ? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtCreateThread 7C91D1AE 5 Bytes JMP 0695AC70 .text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtEnumerateValueKey 7C91D2EE 5 Bytes JMP 06954980 .text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtSetContextThread 7C91DBAE 5 Bytes JMP 0695B3A0 .text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0695B030 .text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!RtlCreateUserThread 7C94232E 5 Bytes JMP 0695B1E0 .text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!WriteProcessMemory 7C802213 5 Bytes JMP 06959320 .text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 06959EC0 .text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 06959DC0 .text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!CreateRemoteThread 7C8104CC 5 Bytes JMP 06959160 .text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!SetThreadContext 7C863C09 5 Bytes JMP 069594D0 .text C:\WINDOWS\Explorer.EXE[3456] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 0695A110 .text C:\WINDOWS\Explorer.EXE[3456] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 0695A030 .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe .text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions) ---- Processes - GMER 1.0.15 ---- Process hidden process (*** hidden *** ) 18876 Process hidden process (*** hidden *** ) 37424 Process hidden process (*** hidden *** ) 40668 ---- Registry - GMER 1.0.15 ---- Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@haelmmmjppehpjch 0x6B 0x61 0x61 0x61 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@galkgodejipehe 0x61 0x63 0x6D 0x6E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@iaolgnjfhagdagdhmg 0x6B 0x61 0x61 0x61 ... ---- EOF - GMER 1.0.15 ---- |
|
|
||
24.01.2012, 06:59
Member
Themenstarter Beiträge: 73 |
#4
hijack.log:
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 20:57:26, on 23.01.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\IFXTCS.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\IFXSPMGT.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\TomTom HOME 2\TomTomHOMEService.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe C:\Programme\ProtectTools\Embedded Security Software\SpTna.exe C:\WINDOWS\Explorer.EXE C:\Programme\HPQ\HP ProtectTools Security Manager\PTServs.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\AccelerometerSt.exe C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\regedit.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\totalcmd\TOTALCMD.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = websweeper.atb-potsdam.de:8080 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDFPrintBackend.exe" O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [WheelMouse] C:\ADVANC~1\wh_exec.exe O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe O4 - HKCU\..\RunOnce: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://get.adobe.com O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} (Silverwire Image Uploader Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- End of file - 11197 bytes |
|
|
||
24.01.2012, 12:46
Moderator
Beiträge: 5694 |
#5
Herzlich Willkommen auf dem Protecus Forum
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden. • Bitte arbeite alle Schritte der Reihe nach ab. • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben. • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. • Bitte kein Crossposting (posten in mehreren Foren). • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert. • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun den Inhalt in die Textbox. Code :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • Klick auf . • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument. Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread Schritt 2 Komplettscan mit Antivir machen AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden: Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen. Fullscan mit Antivir machen Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten). Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen. Bericht in AntiVir finden Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. [color=green] Bitte im Logfile Deine Seriennummer unkenntlich machen.[/color] |
|
|
||
24.01.2012, 13:20
Member
Themenstarter Beiträge: 73 |
#6
Hallo Swiss,
vielen Dank für Deine Antwort. Ich werde heute nachmittag die Scans durchführen. Allerdings habe ich keine Internetverbindung mehr auf diesem PC seit den gestrigen Scans. Ich habe zum Versenden der o.a. Logs einen zweiten Rechner (Netbook) genutzt. Insofern muss ich mit dem Stand der Virensignatur von Antivir leben (wurde laufend aktualisiert und dürfte der Stand vom 22.01.2012 sein). Ich habe einen vollständigen Scan mit Antivir bereits durchgeführt (vor OTL und Gmer) und werde das Ergebnisprotokoll hier posten (heute nachmittag). Es wurden lediglich die beiden Einträge in der Registry sowie das entsprechende Programm im Anwendungsordner des Benutzers Ingo identifiziert und beseitigt, welche aber umgehend wieder da waren, so dass anschließend Antivir (der Onlinescanner) in einer Schleife immer dasselbe tat. Noch eine Frage zum Booten: Das Schadprogramm, welches sich in Run und RunOnes eingetragen hat, würde beim nächsten Booten automatisch gestartet werden. Ist es ok, wenn ich selbiges aus der Registry lösche um dann die Stromzufuhr zu unterbrechen in der Hoffnung, das Programm startet sich nicht automatisch oder genügt es, die Shift-Taste beim Booten zu drücken? (sofern der Schlüssel HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ IgnoreShiftOveride den Wert 0 hat) Ich möchte gern unbedingt verhindern, dass das Programm erstmalig gestartet wird. Gruß Ingo. |
|
|
||
24.01.2012, 13:23
Moderator
Beiträge: 5694 |
#7
Du musst NUR das machen was ich die poste in der Anleitung. Nichts in der Registry und so weiter.
|
|
|
||
25.01.2012, 06:52
Member
Themenstarter Beiträge: 73 |
#8
Hallo Swiss,
ich habe alles so getan, wie Du es empfohlen hast. Das ist der AVIRA-Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 24. Januar 2012 17:42 Es wird nach 3215080 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : xxxxxxxxxxxxxxxxxxx Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : XP-798BF17A12A1 Versionsinformationen: BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 01.07.2011 08:57:10 AVSCAN.DLL : 10.0.5.0 57192 Bytes 01.07.2011 08:57:10 LUKE.DLL : 10.3.0.5 45416 Bytes 01.07.2011 08:57:11 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01.07.2011 08:57:12 AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:30:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 05:06:30 VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 05:06:32 VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 05:06:32 VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 05:06:32 VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 05:06:32 VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 05:06:32 VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 05:06:32 VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 05:06:32 VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 05:06:33 VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 05:06:34 VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 05:06:35 VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:37:04 VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 08:15:13 VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 18:10:52 VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 16:57:51 VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 22:05:38 VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 22:05:31 VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 22:06:08 VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:24:55 VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:24:55 VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 08:30:12 VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 16:48:26 VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 06:39:00 VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 18:58:12 VBASE026.VDF : 7.11.21.99 2048 Bytes 19.01.2012 18:58:12 VBASE027.VDF : 7.11.21.100 2048 Bytes 19.01.2012 18:58:12 VBASE028.VDF : 7.11.21.101 2048 Bytes 19.01.2012 18:58:12 VBASE029.VDF : 7.11.21.102 2048 Bytes 19.01.2012 18:58:12 VBASE030.VDF : 7.11.21.103 2048 Bytes 19.01.2012 18:58:12 VBASE031.VDF : 7.11.21.144 224256 Bytes 24.01.2012 16:39:13 Engineversion : 8.2.8.34 AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 18:24:01 AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 18:58:18 AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 18:58:18 AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:41:11 AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 05:04:20 AEPACK.DLL : 8.2.16.1 799094 Bytes 18.01.2012 06:39:02 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 16:59:13 AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 18:58:17 AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 18:58:13 AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 00:51:11 AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 18:03:57 AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 18:58:13 AEBB.DLL : 8.1.1.0 53618 Bytes 25.05.2010 17:52:39 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.3.2 44904 Bytes 01.07.2011 08:57:10 AVREP.DLL : 10.0.0.10 174120 Bytes 20.05.2011 19:49:04 AVARKT.DLL : 10.0.26.1 255336 Bytes 01.07.2011 08:57:10 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01.07.2011 08:57:10 SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01.07.2011 08:57:10 RCTEXT.DLL : 10.0.64.0 98664 Bytes 01.07.2011 08:57:10 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Auszulassende Dateien.................: f:\_SPC, F:\Computer\Software\novir, G:\_c\TFT_AdjustTest.exe, TFT_AdjustTest.exe, Beginn des Suchlaufs: Dienstag, 24. Januar 2012 17:42 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'taskmgr.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'TomTomHOMERunner.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'AdobeARM.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'E_S4I0K2.EXE' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'PDFPrintBackend.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'HPQTOA~1.EXE' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'Scheduler.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'QlbCtrl.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'DLACTRLW.EXE' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'PTHOSTTR.EXE' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'AccelerometerSt.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'PTServs.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'SpTna.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'PSDrt.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'PSDsrvc.EXE' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'IFXSPMGT.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'IFXTCS.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1195' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Laufwerk_C> C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126683.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126684.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126985.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126986.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126987.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126988.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126989.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126990.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126991.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126996.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126997.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126998.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127056.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127057.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127058.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127059.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127060.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127061.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127062.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127063.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127064.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127065.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127066.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127067.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 C:\_OTL\MovedFiles\01242012_172443\C_Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 Beginne mit der Suche in 'D:\' <HP_RECOVERY> Beginne mit der Suche in 'F:\' <Volume> F:\Computer\Software\killcmos\KILLCMOS.COM.0.AVB [FUND] Ist das Trojanische Pferd TR/KillCMOS.C Das Verzeichnis 'F:\Computer\Software\novir\' wurde von der Suche ausgenommen! Das Verzeichnis 'F:\_SPC\' wurde von der Suche ausgenommen! Beginne mit der Desinfektion: F:\Computer\Software\killcmos\KILLCMOS.COM.0.AVB [FUND] Ist das Trojanische Pferd TR/KillCMOS.C [WARNUNG] Die Datei wurde ignoriert. C:\_OTL\MovedFiles\01242012_172443\C_Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb931d0.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127067.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54f81e37.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127066.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06a744d0.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127065.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60900b12.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127064.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2514262c.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127063.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a0f144d.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127062.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '16b73806.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127061.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6aaf7856.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127060.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f5571b.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127059.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e9d6c81.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127058.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '32c140b1.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127057.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43787927.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127056.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6249e0.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126998.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '084b30a2.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126997.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01403408.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126996.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59012d61.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126991.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '75f554ad.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126990.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0b3470.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126989.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '28051f03.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126988.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ecd5f1e.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126987.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3c5924ba.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126986.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '361c0fc4.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126985.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '094f6b81.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126684.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '776367a5.qua' verschoben! C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126683.exe [FUND] Ist das Trojanische Pferd TR/Kexject.A.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '221b636e.qua' verschoben! Ende des Suchlaufs: Mittwoch, 25. Januar 2012 06:36 Benötigte Zeit: 9:57:42 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 14917 Verzeichnisse wurden überprüft 1069738 Dateien wurden geprüft 26 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 25 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1069712 Dateien ohne Befall 6096 Archive wurden durchsucht 1 Warnungen 25 Hinweise 581079 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden ENDE des AVIRA-Reports Ich habe die gefundenen Schadprogramme in die Quarantäne schieben lassen (ich musste nach dem Suchlauf ja eine Entscheidung treffen) mit Ausnahme von KilllCMOS, welches ich kenne und welches kein Schadprogramm im Sinne von Viren und Trojanern ist. Ist mein PC nun ok? Kann/Soll ich die Quarantäne leeren? Gruß Ingo. |
|
|
||
25.01.2012, 09:58
Moderator
Beiträge: 5694 |
#9
Wo ist das Log von Schritt 1?
|
|
|
||
25.01.2012, 10:31
Member
Themenstarter Beiträge: 73 |
#10
Zitat Swisstreasure posteteEntschuldigung, das ist noch auf dem Desktop des befallenen PC. Das kann ich dann erst am Nachmittag (nach der Arbeit) hier posten - habe ich heute morgen in der Eile vergessen. Der PC hat (ungewöhnlich) lange für den Virenscan benötigt (> 10 Stunden). Nach dem OTL-Lauf und Reboot hat übrigens das Updaten von Antivir problemlos geklappt, so dass mit den neuesten Signaturen gescannt wurde. Ich melde mich nachher mit dem OTL-Bericht. Gruß Ingo. |
|
|
||
25.01.2012, 16:47
Member
Themenstarter Beiträge: 73 |
#11
OTL-Log (Schritt 1):
All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\KeApplet deleted successfully. C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\KeApplet deleted successfully. File C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. D:\AUTOEXEC.BAT moved successfully. D:\Autorun.inf moved successfully. File not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{950d7735-3f77-11df-97be-001641cba7d8}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{950d7735-3f77-11df-97be-001641cba7d8}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{950d7735-3f77-11df-97be-001641cba7d8}\ not found. File G:\DPFMate.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: ingo ->Temp folder emptied: 26615347 bytes ->Temporary Internet Files folder emptied: 327654948 bytes ->Java cache emptied: 66357116 bytes ->FireFox cache emptied: 66754069 bytes ->Flash cache emptied: 57877 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 1487813 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: XP ->Temp folder emptied: 3349678 bytes ->Temporary Internet Files folder emptied: 168509 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2148906 bytes %systemroot%\System32 .tmp files removed: 2953095 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3128905 bytes RecycleBin emptied: 2924544 bytes Total Files Cleaned = 480,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 01242012_172443 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Gruß Ingo. |
|
|
||
25.01.2012, 17:22
Member
Themenstarter Beiträge: 73 |
#12
Ich hatte den PC nur an - nichts gemacht - wirklich nicht! Netzwerkkabel ist gezogen, WLAN aus.
Gerade kommt eine aktuelle Meldung von Avira: 25.01.2012 17:16:12 Typ Fund In der Datei 'C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127096.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Kexject.A.57' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Was ist zu tun? Gruß Ingo |
|
|
||
25.01.2012, 22:05
Moderator
Beiträge: 5694 |
#13
Jo das sind noch Reste in der Systemwiederherstellung
Systemwiederherstellung mit OTL leeren Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop. • Starte die OTL.exe. • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen. • Kopiere folgendes Skript: Code :Commands • und füge es hier ein: • Schließe alle Programme. • Klicke auf den Fix Button. • Klicke auf .• OTL verlangt einen Neustart. Bitte zulassen. • Nach dem Neustart wird Dein Editor mit einem Textdokument geöffnet. • Kopiere den Inhalt hier in Code-Tags in Deinen Thread. |
|
|
||
25.01.2012, 22:36
Member
Themenstarter Beiträge: 73 |
#14
Vor dem Start von OTL musste ich das Fenster von Avira schließen, worauf das oben bemängelte File in die Quarantäne kam.
Die Quarantäne habe ich bisher nicht geleert. Code OTL - LOG:Gruß Ingo. |
|
|
||
26.01.2012, 08:42
Moderator
Beiträge: 5694 |
#15
Di Quarantäne kannst Du löschen. Jetzt sollte eigentlich keine Meldung mehr kommen
ESET Online Scanner itte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten. Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten. • Dein Anti-Virus-Programm während des Scans deaktivieren. Button (<< klick) drücken. • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren. • IE-User: müssen das Installieren eines ActiveX Elements erlauben. • Setze den einen Hacken bei Yes, i accept the Terms of Use. • Drücke den Button. • Warte bis die Komponenten herunter geladen wurden. • Setze einen Haken bei "Scan archives". • Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist. • drücken. • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch. Wenn der Scan beendet wurde • Klicke .• Klicke und speichere das Logfile als ESET.txt auf dem Desktop. • Klicke Back und FinishBitte poste die Logfile hier. |
|
|
||
ich habe folgende Symptome bei meinem PC (XP Servicepack 3):
Bei Virenscan durch Avira (Freewareversion) wird ein Befall in einem Unterordner von "Dokumente und Einstellungen\user\Anwendungsdaten\" gefunden. Dort befindet sich ein Ordner wie etwa {E3B9E560-3FB5-41BD-A092-7C5DD38ED013}, der ein File mit dem Namen Upgrade.exe oder Uploadhelper.exe oder ähnliches enthält und dessen Speicherort sowohl in HKEY_USERS/S-1-5-21-.../Microsoft/Software/Windows/CurrentVersion/Run wie RunOnce mit dem Schlüssel KeApplet eingetragen ist. Avira findet dies, entfernt sowohl Datei als auch die beiden Registry-Eiinträge, anschließend sind nach wenigen Sekunden beide Einträge wieder da. Malwarebytes Anti-Malware findet ebenfalls das Schadprogramm und entfernt auf gleiche Art beides aber mit gleichem (Miss-)Erfolg.
Ich habe seit dem Befall noch nicht neu gebootet und gehe davon aus, dass dieses Programm nicht bisher aktiv war.
Ich habe nach der ausführlichen Anleitung hier im Forum, OTL und GMER installiert und werde die Logfiles hier ebenso wie das von HiJackthis posten.
Ich würde mich freuen, wenn mir jemand helfen könnte. Ich habe eine aktuelle Bart-PE-CD mit XP und mehreren Virenscannern von der ich booten könnte, um das System zu Inspizieren, habe jedoch gemäß der Anleitung hier im Forum zunächst nichts getann. Der Rechner läuft noch immer ohne neu gebootet zu sein. Da es immer einige Sekunden dauert, vom Löschen der Virusfiles und Registry-Einträge bis diese wieder erscheinen, dachte ich, wenn ich neu booten müsste, sollte ich File und Registryeinträge löschen und direkt, den Strom unterbrechen, um zu verhindern, dass bei Neustart das Virus ausgeführt wird.
Logfiles folgen im nächsten Posting.
Vielen Dank im Voraus für Eure Hilfe
Ingo.