Verschlüsselungstrojaner - XP Laptop betroffen

MikeG · 22.06.2012, 15:21

Hallo Leute !

Google hat mich hierher geführt auf der Suche nach Hilfe bei der Bekämpfung eines Verschlüsselungstrojaners.
Also hallo erstmal

Ich habe hier den Schleppi eines Bekannten, der sich durch das Öffnen einen Mailanhanges einen Verschlüsselungstrojaner eingefangen hat.
Das Ergebnis ist, dass ein Teil der abgespeicherten Dateien auf der Partition E: umbenannt wurden und sich nicht mehr öffnen lassen.
Interessanterweise sind nicht alle Dateien auf E: betroffen, sondern nur solche in bestimmten Ordnern. Blöderweise handelt es dabei aber genau um die wichtigsten Dateien, da beruflich genutzt.
Ebenso sind die Favoriten im IE umbenannt und der Tasmanager lässt sich nicht mehr starten.

Auf dem Desktop findet sich die anscheinend übliche Achtung - lesen.txt:

Code:

ATTFilter

 Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Leider weiß ich nicht genau, was mein Bekannter schon rumprobiert hat.

Ich habe jetzt nach Einlesen hier in diesem Board bisher folgendes getan:

Vollscan mit Malwarebytes -

Code:

ATTFilter

 
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.22.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Christian :: PC-CHRISTIAN [Administrator]

Schutz: Aktiviert

22.06.2012 11:16:49
mbam-log-2012-06-22 (12-26-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 334616
Laufzeit: 1 Stunde(n), 9 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCR\.pox (Rogue.FixTool) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{94B6DD36-37C9-A4C5-B516-CCE7B9C540FF} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Leunim\agsyh.exe" -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft® Windows Update (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\Christian\M-1-52-5782-8752-5245\winsvc.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{EC550556-D664-AD7D-1F20-0E890EE12D9B} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Gyyw\taixh.exe" -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MozillaAgent (Spyware.Sniffer) -> Daten: C:\WINDOWS\Temp\_ex-68.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\Christian\M-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

Infizierte Dateien: 1
E:\CMA-Privat\Sport\SoftonicDownloader_fuer_google-earth-pro.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.

(Ende)

Onlinescan mit dem Eset Scanner -

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0501d3c156e0424ab9a024e2e560f47f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-22 12:55:29
# local_time=2012-06-22 02:55:29 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 376 376 0 0
# scanned=94209
# found=1
# cleaned=0
# scan_time=7996
C:\Programme\RegistryReviverSetup.exe	Variante von Win32/RegistryReviver Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I

So, und hier stehe ich momentan und möchte weitere Schritte erst nach euren Ratschlägen unternehmen.

Danke im voraus für eure Hilfe !

Michael

Hallo !

Keine Antworten bisher - schade

Hab ich was falsch gemacht bei meiner Anfrage oder ist der Fall einfach hoffnungslos ?

LG
Michael

cosinus · 25.06.2012, 15:32

Zitat:

Keine Antworten bisher - schade
Hab ich was falsch gemacht bei meiner Anfrage oder ist der Fall einfach hoffnungslos ?

Man sollte auch mal überlegen ob man hier allein im Forum ist

oder ob hier mehr oder weniger gleichzeitig hunderte andere User auch noch alle Hilfe fordern und ja, alles ist "dringend" und "ultimativ wichtig"

Zudem steht in diesem Hinweisthread (den du ja mit Sicherheit von oben bis unten durchgelesen hast) => http://www.trojaner-board.de/69886-a...-beachten.html

Das Forum ist ein vielbesuchter Ort und es kann leider passieren, dass gelegentlich ein Thema übersehen wird.
Auf Grund der großen Anfrage kann es bis zu 3 Tage dauern, bis sich jemand eures Themas annehmen kann.

Code:

ATTFilter

E:CMA-PrivatSportSoftonicDownloader_fuer_google-earth-pro.exe

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Code:

ATTFilter

C:ProgrammeRegistryReviverSetup.exe

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Bitte erstmal routinemäßig einen neuen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

MikeG · 25.06.2012, 19:29

Hi Arne !

Tut mir leid, dass ich so ungeduldig war

Kommt nicht mehr, ich verspreche es.

Ich werde die Scans mit Malwarebyte und Eset nochmal machen und dann hier posten.

LG
Michael

MikeG · 30.06.2012, 12:09

Hallo !

So, hier die Logfiles:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0501d3c156e0424ab9a024e2e560f47f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-22 12:55:29
# local_time=2012-06-22 02:55:29 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 376 376 0 0
# scanned=94209
# found=1
# cleaned=0
# scan_time=7996
C:\Programme\RegistryReviverSetup.exe	Variante von Win32/RegistryReviver Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0501d3c156e0424ab9a024e2e560f47f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-30 10:49:03
# local_time=2012-06-30 12:49:03 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 685522 685522 0 0
# scanned=94256
# found=1
# cleaned=0
# scan_time=6464
C:\Programme\RegistryReviverSetup.exe	Variante von Win32/RegistryReviver Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I

und Malware:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.30.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Christian :: PC-CHRISTIAN [Administrator]

Schutz: Aktiviert

30.06.2012 09:33:57
mbam-log-2012-06-30 (10-52-40).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 336443
Laufzeit: 1 Stunde(n), 17 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Christian\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

(Ende)

LG
Michael

cosinus · 01.07.2012, 15:45

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

MikeG · 02.07.2012, 07:39

Hi Arne !

Keinerlei Einschränkungen feststellbar.
Keine fehlenden Programme, keine leeren Ordner, alles vorhanden.

Danke !

Michael

cosinus · 02.07.2012, 13:18

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

MikeG · 02.07.2012, 14:36

Hallo !

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 02.07.2012 15:20:36 - Run 2
OTL by OldTimer - Version 3.2.53.1     Folder = C:\Dokumente und Einstellungen\Christian\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,17 Gb Available Physical Memory | 58,81% Memory free
3,84 Gb Paging File | 3,17 Gb Available in Paging File | 82,44% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 25,88 Gb Free Space | 53,00% Space Free | Partition Type: NTFS
Drive E: | 184,05 Gb Total Space | 127,18 Gb Free Space | 69,10% Space Free | Partition Type: NTFS
 
Computer Name: PC-CHRISTIAN | User Name: Christian | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.07.02 15:18:53 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Christian\Desktop\OTL.exe
PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.03.23 15:09:38 | 014,749,544 | ---- | M] (GARMIN Corp.) -- C:\Programme\Garmin\ANT Agent\ANT Agent.exe
PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2011.11.07 17:10:52 | 001,531,280 | ---- | M] (IKARUS Security Software GmbH) -- C:\Programme\a1internetsecurity\bin\guardxservice.exe
PRC - [2011.11.07 17:10:50 | 002,756,992 | ---- | M] (IKARUS Security Software GmbH) -- C:\Programme\a1internetsecurity\bin\guardxkickoff.exe
PRC - [2011.08.23 21:20:18 | 000,887,976 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe
PRC - [2011.06.09 13:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.01.30 00:11:36 | 003,372,856 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\Kies\KiesTrayAgent.exe
PRC - [2010.09.22 19:11:26 | 000,640,440 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
PRC - [2009.04.17 15:33:36 | 000,095,536 | ---- | M] (OLYMPUS IMAGING CORP.) -- C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
PRC - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.10.19 15:50:56 | 003,641,344 | ---- | M] () -- C:\Programme\HotKey_Driver\HotKeyDriver.exe
PRC - [2007.02.21 11:19:58 | 000,819,200 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
PRC - [2007.02.21 11:17:42 | 000,970,752 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
PRC - [2006.11.22 11:31:26 | 000,630,784 | R--- | M] (Motorola Inc.) -- C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 16:41:25 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2009.02.27 16:39:29 | 000,019,968 | ---- | M] () -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\AcroTray.DEU
MOD - [2009.02.27 16:32:27 | 000,020,480 | ---- | M] () -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\AcroTray.FRA
MOD - [2007.10.19 15:50:56 | 003,641,344 | ---- | M] () -- C:\Programme\HotKey_Driver\HotKeyDriver.exe
MOD - [2007.02.21 11:13:02 | 000,118,784 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\iWMSProv.dll
MOD - [2006.11.22 11:31:30 | 000,065,536 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56ita.dll
MOD - [2006.11.22 11:31:30 | 000,065,536 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56esp.dll
MOD - [2006.11.22 11:31:30 | 000,065,536 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56brz.dll
MOD - [2006.11.22 11:31:30 | 000,053,248 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56kor.dll
MOD - [2006.11.22 11:31:28 | 000,065,536 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56ger.dll
MOD - [2006.11.22 11:31:28 | 000,065,536 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56fra.dll
MOD - [2006.11.22 11:31:28 | 000,065,536 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56dnk.dll
MOD - [2006.11.22 11:31:28 | 000,057,344 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56jpn.dll
MOD - [2006.11.22 11:31:28 | 000,053,248 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56cht.dll
MOD - [2006.11.22 11:31:28 | 000,053,248 | R--- | M] () -- C:\Programme\Motorola\SMSERIAL\sm56chs.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.11.07 17:10:52 | 001,531,280 | ---- | M] (IKARUS Security Software GmbH) [Auto | Running] -- C:\Programme\a1internetsecurity\bin\guardxservice.exe -- (GuardX)
SRV - [2011.07.20 06:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008.10.27 16:18:25 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.11.07 17:07:32 | 001,078,528 | ---- | M] (IKARUS Security Software GmbH) [Kernel | System | Running] -- C:\Programme\a1internetsecurity\bin\ntguard.sys -- (NTGUARD)
DRV - [2011.11.01 11:43:35 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) WinPcap Packet Driver (NPF)
DRV - [2011.01.03 10:38:36 | 000,136,680 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2011.01.03 10:38:36 | 000,121,192 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssadbus.sys -- (ssadbus) SAMSUNG Android USB Composite Device driver (WDM)
DRV - [2011.01.03 10:38:36 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssadmdfl.sys -- (ssadmdfl) SAMSUNG Android USB Modem (Filter)
DRV - [2007.08.10 07:52:44 | 004,603,904 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.08.08 12:12:42 | 000,101,120 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007.02.25 06:05:24 | 002,203,520 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETw4x32.sys -- (NETw4x32) Intel(R)
DRV - [2007.02.21 11:16:12 | 000,012,416 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2006.11.22 11:35:00 | 000,982,272 | R--- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2006.10.24 17:36:48 | 000,042,240 | R--- | M] (ENE Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ESD7SK.sys -- (ESDCR)
DRV - [2006.10.24 17:36:36 | 000,062,208 | R--- | M] (ENE Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\EMS7SK.sys -- (EMSCR)
DRV - [2006.08.14 15:09:48 | 000,083,200 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.inbox.com/homepage.aspx?tbid=80195&lng=de
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No CLSID value found
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SUNC_de
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{73D6A76D-6D06-4FDC-AAF5-38200F576CEF}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_US&apn_ptnrs=U3&apn_dtid=OSJ000YYAT&apn_uid=63AD130F-6ED2-4B44-82D7-B17098B999EC&apn_sauid=A10B21E7-7371-4C13-A207-4F039285BF77&
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}: "URL" = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80195&lng=de
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Acrobat: C:\Programme\Adobe\Acrobat 9.0\Acrobat\Air\nppdf32.dll (Adobe Systems Inc.)
 
 
 
Hosts file not found
O2 - BHO: (Browser Companion Helper) - {00cbb66b-1d3b-46d3-9577-323a336acb50} - C:\Programme\BrowserCompanion\jsloader.dll ( )
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Browser Companion Helper Verifier) - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Programme\BrowserCompanion\updatebhoWin32.dll ( )
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [Ikarus-GuardX] C:\Programme\a1internetsecurity\bin\guardxkickoff.exe (IKARUS Security Software GmbH)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe (OLYMPUS IMAGING CORP.)
O4 - HKLM..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004..\Run: [ANT Agent] C:\Programme\Garmin\ANT Agent\ANT Agent.exe (GARMIN Corp.)
O4 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004..\Run: [KiesHelper] C:\Programme\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004..\Run: [KiesTrayAgent] C:\Programme\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe (OLYMPUS IMAGING CORP.)
O4 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004..\Run: [Registry Reviver] C:\Programme\Reviversoft\Registry Reviver\RegistryReviver.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} https://mail.uniquare.com/iNotes6W.cab (iNotes6 Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6F544F92-93AD-43F2-A594-D3EE1A4A1FC0}: DhcpNameServer = 10.0.0.138
O18 - Protocol\Handler\base64 {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd)
O18 - Protocol\Handler\chrome {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\prox {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.09.15 10:06:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3fc9cd5a-841b-11dd-b846-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{3fc9cd5a-841b-11dd-b846-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3fc9cd5a-841b-11dd-b846-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3fc9cd5c-841b-11dd-b846-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{3fc9cd5c-841b-11dd-b846-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3fc9cd5c-841b-11dd-b846-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3ffd0c3a-8ac7-11dd-b84e-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{3ffd0c3a-8ac7-11dd-b84e-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3ffd0c3a-8ac7-11dd-b84e-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6923a840-a736-11dd-b870-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{6923a840-a736-11dd-b870-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6923a840-a736-11dd-b870-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6923a841-a736-11dd-b870-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{6923a841-a736-11dd-b870-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6923a841-a736-11dd-b870-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
SafeBootMin: GuardX - C:\Programme\a1internetsecurity\bin\guardxservice.exe (IKARUS Security Software GmbH)
SafeBootMin: ntguard.sys - C:\Programme\a1internetsecurity\bin\ntguard.sys (IKARUS Security Software GmbH)
 
SafeBootNet: GuardX - C:\Programme\a1internetsecurity\bin\guardxservice.exe (IKARUS Security Software GmbH)
SafeBootNet: ntguard.sys - C:\Programme\a1internetsecurity\bin\ntguard.sys (IKARUS Security Software GmbH)
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {27A2CC51-7D7E-DDC8-4151-7B1E307D055E} - Outlook Express
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.22 19:40:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Desktop\avira ransom
[2012.06.22 19:29:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Desktop\Beispielbilder Original XP
[2012.06.22 19:16:07 | 004,565,264 | ---- | C] (Swearware) -- C:\Dokumente und Einstellungen\Christian\Desktop\ComboFix.exe
[2012.06.22 19:09:06 | 002,128,472 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Christian\Desktop\tdsskiller.exe
[2012.06.22 18:28:49 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Christian\Desktop\OTL.exe
[2012.06.22 12:35:59 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.06.22 09:54:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
[2012.06.22 09:54:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.06.22 09:54:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.06.22 09:54:02 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.06.22 09:54:01 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.06.13 20:00:32 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012.06.12 12:24:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ppppll
[2012.06.12 12:23:36 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012.06.06 11:44:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Downloads
[2011.10.16 17:25:09 | 020,398,464 | ---- | C] (TomTom International B.V.) -- C:\Programme\TomTomHOME2winlatest.exe
[2011.10.16 17:18:09 | 006,619,464 | ---- | C] (TomTom International B.V.) -- C:\Programme\InstallMyTomTomSA.exe
[2011.08.03 12:53:34 | 008,676,128 | ---- | C] (Microsoft Corporation) -- C:\Programme\Windows7UpgradeAdvisorSetup.exe
[2011.08.03 12:33:27 | 004,710,128 | ---- | C] (ReviverSoft                                                 ) -- C:\Programme\RegistryReviverSetup.exe
[2011.03.18 14:33:32 | 087,340,080 | ---- | C] (Samsung Electronics Co., Ltd.                                ) -- C:\Programme\Kies_2.0.0.11014_49_2.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.02 15:24:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{EAD0FC71-97F6-4541-8D4F-38464EB0E131}.job
[2012.07.02 15:18:53 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Christian\Desktop\OTL.exe
[2012.07.02 09:16:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.07.02 08:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At18.job
[2012.07.02 08:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At17.job
[2012.07.02 08:39:00 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.02 08:25:28 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.02 08:25:23 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.02 08:25:16 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.30 12:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At26.job
[2012.06.30 12:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At25.job
[2012.06.30 11:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At24.job
[2012.06.30 11:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At23.job
[2012.06.30 10:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At22.job
[2012.06.30 10:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At21.job
[2012.06.30 09:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At20.job
[2012.06.30 09:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At19.job
[2012.06.26 20:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At42.job
[2012.06.26 20:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At41.job
[2012.06.26 19:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At40.job
[2012.06.26 19:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At39.job
[2012.06.25 21:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At44.job
[2012.06.25 21:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At43.job
[2012.06.22 19:28:34 | 000,149,694 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\DecryptHelper-0.5.3.exe
[2012.06.22 19:16:07 | 004,565,264 | ---- | M] (Swearware) -- C:\Dokumente und Einstellungen\Christian\Desktop\ComboFix.exe
[2012.06.22 19:09:16 | 002,128,472 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Christian\Desktop\tdsskiller.exe
[2012.06.22 18:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At38.job
[2012.06.22 18:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At37.job
[2012.06.22 17:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At36.job
[2012.06.22 17:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At35.job
[2012.06.22 16:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At34.job
[2012.06.22 16:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At33.job
[2012.06.22 15:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At32.job
[2012.06.22 15:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At31.job
[2012.06.22 14:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At30.job
[2012.06.22 14:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At29.job
[2012.06.22 13:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At28.job
[2012.06.22 13:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At27.job
[2012.06.22 11:02:36 | 000,000,473 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2012.06.22 09:54:05 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.06.19 10:08:58 | 000,246,784 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.06.19 07:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At16.job
[2012.06.19 07:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At15.job
[2012.06.19 06:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At14.job
[2012.06.19 06:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At13.job
[2012.06.19 05:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At12.job
[2012.06.19 05:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At11.job
[2012.06.19 04:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At10.job
[2012.06.19 04:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At9.job
[2012.06.19 03:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At8.job
[2012.06.19 03:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At7.job
[2012.06.19 02:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At6.job
[2012.06.19 02:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At5.job
[2012.06.19 01:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
[2012.06.19 01:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
[2012.06.19 00:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2012.06.19 00:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2012.06.18 23:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At48.job
[2012.06.18 23:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At47.job
[2012.06.18 22:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\tasks\At46.job
[2012.06.18 22:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\tasks\At45.job
[2012.06.18 11:18:14 | 000,269,392 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.14 11:34:08 | 000,530,884 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.14 11:34:08 | 000,480,496 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.14 11:34:08 | 000,114,132 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.14 11:34:08 | 000,086,754 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.14 11:30:12 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.12 16:25:06 | 000,001,734 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Acrobat 9 Standard.lnk
[2012.06.12 14:38:38 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.06 10:20:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.22 19:31:39 | 000,000,678 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\Beispielbilder befallen.lnk
[2012.06.22 19:28:34 | 000,149,694 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\DecryptHelper-0.5.3.exe
[2012.06.22 09:54:05 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.28 18:14:27 | 000,000,017 | -H-- | C] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\19720201.dat
[2012.05.28 18:14:18 | 000,000,036 | ---- | C] () -- C:\WINDOWS\iltwain.ini
[2012.02.16 18:54:34 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.11.01 11:33:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\28Kn5qM.dat
[2011.10.31 12:05:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\lDJvvJaTaTOgOgee
[2011.08.03 12:40:57 | 031,057,562 | ---- | C] () -- C:\Programme\x-video-converter-ultimate6-de-softonic.exe
[2011.04.18 08:58:52 | 002,373,560 | ---- | C] () -- C:\Programme\WEG-Vertrag.pdf
[2011.04.18 08:57:03 | 002,158,333 | ---- | C] () -- C:\Programme\WEG_HV_Vertrag_MMP_16.12.2008.pdf
[2011.04.18 08:55:51 | 000,030,274 | ---- | C] () -- C:\Programme\Vorschau_2011_TOP_01A_delFabro.pdf
[2011.04.18 08:55:19 | 000,038,016 | ---- | C] () -- C:\Programme\ReNr_02A_2011_BK_TOP_TG_01_delFabro.pdf
[2011.04.18 08:54:45 | 000,037,469 | ---- | C] () -- C:\Programme\ReNr_01A_2011_BK_TOP_WHG_01_delFabro.pdf
[2011.04.13 11:27:50 | 000,139,125 | ---- | C] () -- C:\Programme\img-110412094729.pdf
[2011.04.13 11:25:40 | 000,155,356 | ---- | C] () -- C:\Programme\ShowPDF.pdf
[2011.03.18 15:26:22 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.01.29 18:00:24 | 000,030,568 | ---- | C] () -- C:\WINDOWS\MusiccityDownload.exe
[2011.01.29 18:00:22 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\cis-2.4.dll
[2011.01.29 18:00:22 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\issacapi_bs-2.3.dll
[2011.01.29 18:00:22 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\issacapi_pe-2.3.dll
[2011.01.29 18:00:22 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\issacapi_se-2.3.dll
[2010.11.04 14:09:47 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2008.11.13 01:03:54 | 000,621,058 | ---- | C] () -- C:\Programme\ConnectionManagerPC.exe
[2008.09.18 21:06:44 | 000,246,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[1601.02.13 10:28:18 | 000,000,083 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\UUdxxxVfVttUUdxxxrr
 
========== LOP Check ==========
 
[2011.10.27 16:06:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2012.05.15 22:16:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Garmin
[2011.03.18 14:44:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2008.09.18 20:28:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2011.03.28 10:39:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEKA
[2012.06.12 13:35:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2008.12.09 15:05:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2012.06.12 13:36:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{41A9DA42-A6CE-4276-8EA9-63F70B2168D1}
[2012.06.12 13:36:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\BrowserCompanion
[2010.12.22 15:23:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ebucq
[2012.05.15 22:16:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Garmin
[2012.06.12 13:36:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\GeoSetter
[2011.11.07 12:47:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Gyyw
[2010.12.22 23:29:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Leunim
[2011.11.06 20:41:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Luen
[2012.06.12 16:08:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ppppll
[2011.08.03 12:34:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Reviversoft
[2011.03.18 14:42:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Samsung
[2011.08.03 12:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\ScanSoft
[2011.03.28 10:41:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\WEKA
[2008.09.15 13:05:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Windows Desktop Search
[2008.11.12 17:46:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Windows Search
[2012.06.12 14:38:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Wuala
[2011.08.03 12:42:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Xilisoft
[2012.06.19 00:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job
[2012.06.19 04:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At10.job
[2012.06.19 05:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At11.job
[2012.06.19 05:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At12.job
[2012.06.19 06:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At13.job
[2012.06.19 06:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At14.job
[2012.06.19 07:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At15.job
[2012.06.19 07:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At16.job
[2012.07.02 08:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At17.job
[2012.07.02 08:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At18.job
[2012.06.30 09:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At19.job
[2012.06.19 00:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job
[2012.06.30 09:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At20.job
[2012.06.30 10:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At21.job
[2012.06.30 10:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At22.job
[2012.06.30 11:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At23.job
[2012.06.30 11:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At24.job
[2012.06.30 12:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At25.job
[2012.06.30 12:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At26.job
[2012.06.22 13:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At27.job
[2012.06.22 13:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At28.job
[2012.06.22 14:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At29.job
[2012.06.19 01:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job
[2012.06.22 14:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At30.job
[2012.06.22 15:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At31.job
[2012.06.22 15:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At32.job
[2012.06.22 16:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At33.job
[2012.06.22 16:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At34.job
[2012.06.22 17:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At35.job
[2012.06.22 17:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At36.job
[2012.06.22 18:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At37.job
[2012.06.22 18:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At38.job
[2012.06.26 19:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At39.job
[2012.06.19 01:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job
[2012.06.26 19:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At40.job
[2012.06.26 20:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At41.job
[2012.06.26 20:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At42.job
[2012.06.25 21:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At43.job
[2012.06.25 21:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At44.job
[2012.06.18 22:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At45.job
[2012.06.18 22:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At46.job
[2012.06.18 23:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At47.job
[2012.06.18 23:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At48.job
[2012.06.19 02:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At5.job
[2012.06.19 02:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At6.job
[2012.06.19 03:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At7.job
[2012.06.19 03:54:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At8.job
[2012.06.19 04:54:00 | 000,000,350 | ---- | M] () -- C:\WINDOWS\Tasks\At9.job
[2012.07.02 09:16:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
[2012.07.02 15:24:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{EAD0FC71-97F6-4541-8D4F-38464EB0E131}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.06.22 09:18:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Adobe
[2008.12.09 15:07:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Apple Computer
[2008.09.18 20:43:54 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Brother
[2012.06.12 13:36:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\BrowserCompanion
[2010.12.22 15:23:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ebucq
[2012.05.15 22:16:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Garmin
[2012.06.12 13:36:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\GeoSetter
[2012.05.25 11:09:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Google
[2011.11.07 12:47:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Gyyw
[2008.09.15 10:11:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Identities
[2008.09.18 20:29:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\InstallShield
[2008.09.15 10:31:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Intel
[2010.12.22 23:29:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Leunim
[2011.11.06 20:41:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Luen
[2008.11.17 14:14:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Macromedia
[2012.06.22 09:54:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
[2011.12.13 16:49:30 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Microsoft
[2012.06.12 16:08:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ppppll
[2011.08.03 12:34:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Reviversoft
[2011.03.18 14:42:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Samsung
[2011.08.03 12:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\ScanSoft
[2010.06.24 10:23:07 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\SecuROM
[2009.03.11 21:01:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Sun
[2011.03.28 10:41:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\WEKA
[2008.09.15 13:05:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Windows Desktop Search
[2008.11.12 17:46:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Windows Search
[2012.06.12 14:38:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Wuala
[2011.08.03 12:42:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Xilisoft
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys
[2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.02.28 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2006.02.28 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008.09.15 11:44:06 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2008.09.15 11:44:06 | 001,069,056 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2008.09.15 11:44:06 | 000,466,944 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
<           >
 
========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\WINDOWS\$NtUninstallKB20604$] -> Error: Cannot create file handle -> Unknown point type

< End of report >

--- --- ---

MfG
Michael

cosinus · 02.07.2012, 16:16

Zitat:

[2012.06.22 19:16:07 | 004,565,264 | ---- | C] (Swearware) -- C:\Dokumente und Einstellungen\Christian\Desktop\ComboFix.exe

Was hast du da schon mit Combofix gemacht?!

Das Tool sollte niemals auf eigene Faust ausgeführt werden!

MikeG · 02.07.2012, 16:37

Hi Arne !

Einspruch.

Ich hab Combofix zwar drauf, aber rechtzeitig vor dem Ausführen die deutlichen Hinweise hier gelesen.
Wurde also noch nicht verwendet.

Michael

cosinus · 03.07.2012, 10:37

Dann ist ja gut!

Ich hab nichts gesagt!

cosinus · 03.07.2012, 10:41

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www2.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.inbox.com/homepage.aspx?tbid=80195&lng=de
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No CLSID value found
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SUNC_de
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{73D6A76D-6D06-4FDC-AAF5-38200F576CEF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_US&apn_ptnrs=U3&apn_dtid=OSJ000YYAT&apn_uid=63AD130F-6ED2-4B44-82D7-B17098B999EC&apn_sauid=A10B21E7-7371-4C13-A207-4F039285BF77&
IE - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}: "URL" = http://www2.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80195&lng=de
O2 - BHO: (Browser Companion Helper) - {00cbb66b-1d3b-46d3-9577-323a336acb50} - C:\Programme\BrowserCompanion\jsloader.dll ( )
O2 - BHO: (Browser Companion Helper Verifier) - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Programme\BrowserCompanion\updatebhoWin32.dll ( )
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004..\Run: [Registry Reviver] C:\Programme\Reviversoft\Registry Reviver\RegistryReviver.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1645522239-436374069-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Programme\Bonjour\mdnsNSP.dll File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.09.15 10:06:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3fc9cd5a-841b-11dd-b846-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{3fc9cd5a-841b-11dd-b846-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3fc9cd5a-841b-11dd-b846-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3fc9cd5c-841b-11dd-b846-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{3fc9cd5c-841b-11dd-b846-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3fc9cd5c-841b-11dd-b846-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3ffd0c3a-8ac7-11dd-b84e-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{3ffd0c3a-8ac7-11dd-b84e-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3ffd0c3a-8ac7-11dd-b84e-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6923a840-a736-11dd-b870-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{6923a840-a736-11dd-b870-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6923a840-a736-11dd-b870-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6923a841-a736-11dd-b870-0090f56d231d}\Shell - "" = AutoRun
O33 - MountPoints2\{6923a841-a736-11dd-b870-0090f56d231d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6923a841-a736-11dd-b870-0090f56d231d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
:Files
C:\WINDOWS\$NtUninstallKB20604$
C:\WINDOWS\tasks\At*.job
C:\Programme\RegistryReviverSetup.exe
C:\Programme\Ask.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\28Kn5qM.dat
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\lDJvvJaTaTOgOgee
C:\Programme\x-video-converter-ultimate6-de-softonic.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\UUdxxxVfVttUUdxxxrr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Gyyw
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Leunim
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Luen
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ppppll
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

MikeG · 03.07.2012, 19:58

Hallo Arne !

So, hab den OTS-Fix gestartet.
Leider hängt sich OTS auf. In der Statusleiste steht "Keine Rückmeldung" und es geht nichts mehr weiter.

Alle anderen Programme hab ich vorher beendet.

Was kann ich tun ?

Danke für deine Hilfe.

Michael

cosinus · 04.07.2012, 16:24

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

MikeG · 05.07.2012, 19:46

Hallo !

Ich kann das System nicht in den abgesicherten Modus schalten

ERklärung:
Ich kann im Windows - Startmenu zwar den abgesicherten Modus auswählen, das System beginnt dann zwar mit dem Startvorgang, bricht diesen aber nach kurzer Zeit ab.
Folgend bootet der Schleppi neu und das Spiel beginnt von vorne.
Im "normalen" Modus kann ich problemlos starten.

Was kann ich tun ?

LG
Michael

01.07.2012, 15:45	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner - XP Laptop betroffen Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

03.07.2012, 10:37	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner - XP Laptop betroffen Dann ist ja gut! Ich hab nichts gesagt! __________________ Logfiles bitte immer in CODE-Tags posten

04.07.2012, 16:24	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner - XP Laptop betroffen Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus. __________________ Logfiles bitte immer in CODE-Tags posten

Verschlüsselungstrojaner - XP Laptop betroffen

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner - XP Laptop betroffen