Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ausversehen unbekannte Malware geöffnet

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.03.2013, 08:46   #1
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Ich habe gestern unten stehende Nachricht bekommen mit anhängender
ausführbarer Datei. Habe ausversehen draufgeklickt. Es kam eine Meldung,
dass die Datei nicht ausführbar sei, da sie beschädigt wäre. ANTIVIR hat
nicht angeschlagen, habe ihn geupdatet und die Festplatte gescannt, was
nichts ergeben hat.

Dennoch ist mein Rechner seit gestern auffällig langsam und ich kann mit Thunderbird keine E-Mails mehr abrufen. Als ich neu gebootet habe (setze ihn normalerweise in den Ruhezustand) kam nach dem Hochfahren eine Warnung der Windows 2000 - Firewall, dass verhindert würde das IE Verbindung mit dem Internet aufnimmt. Die Firewall war danach deaktiviert, musste Sie händisch aktivieren.

Über eine Rückmeldung (Was habe ich mir eingefangen, wie werde ich es
los) würde ich mich freuen.

Viele Grüße
Ralle81

>
>
> -------- Original-Nachricht --------
> Betreff: Rechnung für xyz Nummer 97677195
> Datum: Tue, 12 Mar 2013 14:24:37 GMT
> Von: <scarface76@t-online.de>
> An: xyz <xyz@hotmail.com>
>
>
>
> Sehr geehrter Kunde xyz,
>
> in der Hektik des Alltagslebens haben Sie sicher nur vergessen, unsere Forderung zu bezahlen. Bedauerlicherweise konnten wir bezüglich der beigefügten Rechnung noch keinen Zahlungseingang ersehen.
>
> Rechnungs-Daten
> __________________________
>
> Lieferung erfolgte am: 09 Januar 2013 empfangen von: xyz
> Mahngebühren: 11,00 Euro
> Offene Rechnung: 679,52 Euro
> Bestellnummer: 068731143
>
> Sofern Ihrer Aufmerksamkeit unsere Aufforderung entgangen ist, haben wir Ihnen eine Kopie unserer Rechnung angehängt. Wir verpflichten Sie, die Zahlung nachzuholen und sehen dem Eingang Ihrer Zahlung bis zum 16.03.2013 entgegen. Wenn Sie den festgelegten Termin nicht einhalten, werden wir Ihnen Verzugszinsen und Mahnkosten berechnen.
>
> Sollten Sie die Überweisung nicht rechtzeitig durchführen, wird die Sache an unsere Anwälte übergeben, was mit weiteren Kosten verbunden sein wird.
> Ein weiteres Mahnschreiben erfolgt nicht.
>
> ___________________________
> Mit bestem Dank für Ihr Vertrauen in
> Rtlshop Michelle Friedrich

Alt 13.03.2013, 14:47   #2
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet





Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 14.03.2013, 10:25   #3
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Erstmal Danke für die Hilfe. Dieses Forum ist eine tolle Sache. Wahnsinn, was da an Arbeit drin stecken muss...

Eine kleine Korrektur zu meinem Eingangspost. Ich sagte, ANTIVIR hat nichts gefunden. Ich habe wohl was falsch gemacht, anscheinend nur den Bootsektor gescannt o.ä. Habe ANTIVIR gestern noch mal drüber laufen lassen (hat 7 Stunden gedauert) und hängen mal ergänzend einen Screenshot an von den Dateien die in Quarantäne gestellt wurden.

Bin anschließend wie beschrieben mit mbar und OTL vorgegangen, poste hier die Protokolle.

Für mich wäre es, neben der Frage ob mein Rechner wieder sauber ist, interessant zu wissen, wie gefährlich diese Trojaner sind bzw. was die machen? Habe törichterweise nach der Infektion noch ein oder zwei Logins durchgeführt. Muss ich diese beiden PW oder gar alle PW ändern? Letzteres wäre sehr aufwändig, wenn es sein muss würde ich es aber machen.

Zunächst die Outputs für mbar:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.13.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
zensiert :: zensiert [administrator]

13.03.2013 18:50:50
mbar-log-2013-03-13 (18-50-50).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26826
Time elapsed: 23 minute(s), 34 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\userinit.exe (Security.Hijack) -> Delete on reboot.

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|KB00465130.exe (Trojan.Agent.Gen) -> Data: "C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\KB00465130.exe" -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 5
c:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Application Updater\temp\~wt386.tmp (PUP.Dealio.TB) -> Delete on reboot.
c:\Dokumente und Einstellungen\zensiert\Eigene Dateien\Downloads\oi_cs3zip.exe (PUP.BundleInstaller.OI) -> Delete on reboot.
c:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\{13C53-A7F954-A7FD54} (Trojan.FakeMS.PRGen) -> Delete on reboot.
c:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\tmpe19a7bde\vv1303.exe (Trojan.FakeMS.PRGen) -> Delete on reboot.
c:\Dokumente und Einstellungen\zensiert\Anwendungsdaten\KB00465130.exe (Trojan.Agent.Gen) -> Delete on reboot.

(end)
         
Code:
ATTFilter
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1021

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 8.0.6001.18702

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.214000 GHz
Memory total: 3488714752, free: 2368794624

------------ Kernel report ------------
     03/13/2013 18:26:19
------------ Loaded modules -----------
\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\AmdPPM.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\DRIVERS\nusb3xhc.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\imapi.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\ASACPI.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\netwg311.sys
\SystemRoot\system32\DRIVERS\Rtenicxp.sys
\SystemRoot\system32\DRIVERS\wmiacpi.sys
\SystemRoot\system32\DRIVERS\dne2000.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\System32\Drivers\RandWDM.sys
\SystemRoot\system32\DRIVERS\odysseyIM3.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\AtiHdmi.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\nusb3hub.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\drivers\AsIO.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\atiok3x2.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\System32\Drivers\StarOpen.SYS
\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
\SystemRoot\system32\DRIVERS\srv.sys
\??\C:\WINDOWS\system32\vsdatant.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\drivers\kmixer.sys
\SystemRoot\System32\Drivers\hiber_WMILIB.SYS
\SystemRoot\system32\DRIVERS\mouhid.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff8ae28ab8
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP2T1L0-10\
Lower Device Object: 0xffffffff8ae78b00
Lower Device Driver Name: \Driver\atapi\
Driver name found: atapi
Initialization returned 0x0
Load Function returned 0x0
Downloaded database version: v2013.03.13.10
Initializing...
Done!
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff8ae28ab8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8ae29930, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff8ae28ab8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8ae2e9e8, DeviceName: \Device\00000079\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff8ae78b00, DeviceName: \Device\Ide\IdeDeviceP2T1L0-10\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0xffffffffe388ec88, 0xffffffff8ae28ab8, 0xffffffff894cc4f8
Lower DeviceData: 0xffffffffe15c3818, 0xffffffff8ae78b00, 0xffffffff88f75f18
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning directory: C:\WINDOWS\system32\drivers...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 1B921B92

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 63  Numsec = 1750985713
    Partition file system is NTFS
    Partition is bootable

    Partition 1 type is Extended with CSH (0x5)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1750986750  Numsec = 202536962

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 1000204886016 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-62-1953505168-1953525168)...
Done!
Performing system, memory and registry scan...
Infected: c:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Application Updater\temp\~wt386.tmp --> [PUP.Dealio.TB]
Infected: c:\Dokumente und Einstellungen\zensiert\Eigene Dateien\Downloads\oi_cs3zip.exe --> [PUP.BundleInstaller.OI]
Infected: c:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\{13C53-A7F954-A7FD54} --> [Trojan.FakeMS.PRGen]
Infected: c:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\tmpe19a7bde\vv1303.exe --> [Trojan.FakeMS.PRGen]
Infected: c:\Dokumente und Einstellungen\zensiert\Anwendungsdaten\KB00465130.exe --> [Trojan.Agent.Gen]
Infected: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|KB00465130.exe --> [Trojan.Agent.Gen]
Infected: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\userinit.exe --> [Security.Hijack]
Done!
Scan finished
Creating System Restore point...
Scheduling clean up...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1021

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 8.0.6001.18702

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.214000 GHz
Memory total: 3488714752, free: 3110010880

Removal queue found; removal started
Removing c:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Application Updater\temp\~wt386.tmp...
Removing c:\Dokumente und Einstellungen\zensiert\Eigene Dateien\Downloads\oi_cs3zip.exe...
Removing c:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\{13C53-A7F954-A7FD54}...
Removing c:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\tmpe19a7bde\vv1303.exe...
Removing c:\Dokumente und Einstellungen\zensiert\Anwendungsdaten\KB00465130.exe...
Removal finished
=======================================
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1021

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 8.0.6001.18702

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.214000 GHz
Memory total: 3488714752, free: 2448805888

------------ Kernel report ------------
     03/13/2013 19:45:07
------------ Loaded modules -----------
\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
imofugc.sys
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\DRIVERS\AmdPPM.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\nusb3xhc.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\imapi.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\ASACPI.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\netwg311.sys
\SystemRoot\system32\DRIVERS\Rtenicxp.sys
\SystemRoot\system32\DRIVERS\wmiacpi.sys
\SystemRoot\system32\DRIVERS\dne2000.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\System32\Drivers\RandWDM.sys
\SystemRoot\system32\DRIVERS\odysseyIM3.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\AtiHdmi.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\nusb3hub.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\drivers\AsIO.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\atiok3x2.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\System32\Drivers\StarOpen.SYS
\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
\??\C:\WINDOWS\system32\vsdatant.sys
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\drivers\kmixer.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff8adf19c0
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP2T1L0-10\
Lower Device Object: 0xffffffff8ae79d98
Lower Device Driver Name: \Driver\atapi\
Driver name found: atapi
Initialization returned 0x0
Load Function returned 0x0
Downloaded database version: v2013.03.13.11
Initializing...
Done!
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff8adf19c0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8ae76e08, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff8adf19c0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8adf49e8, DeviceName: \Device\00000079\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff8ae79d98, DeviceName: \Device\Ide\IdeDeviceP2T1L0-10\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0xffffffffe2bbc8a8, 0xffffffff8adf19c0, 0xffffffff89457ab8
Lower DeviceData: 0xffffffffe2b1f3b8, 0xffffffff8ae79d98, 0xffffffff898b3f18
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning directory: C:\WINDOWS\system32\drivers...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 1B921B92

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 63  Numsec = 1750985713
    Partition file system is NTFS
    Partition is bootable

    Partition 1 type is Extended with CSH (0x5)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1750986750  Numsec = 202536962

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 1000204886016 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-62-1953505168-1953525168)...
Done!
Performing system, memory and registry scan...
Done!
Scan finished
=======================================


---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1021

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 8.0.6001.18702

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.214000 GHz
Memory total: 3488714752, free: 2433646592

------------ Kernel report ------------
     03/13/2013 20:49:28
------------ Loaded modules -----------
\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
imofugc.sys
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\DRIVERS\AmdPPM.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\nusb3xhc.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\imapi.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\ASACPI.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\netwg311.sys
\SystemRoot\system32\DRIVERS\Rtenicxp.sys
\SystemRoot\system32\DRIVERS\wmiacpi.sys
\SystemRoot\system32\DRIVERS\dne2000.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\System32\Drivers\RandWDM.sys
\SystemRoot\system32\DRIVERS\odysseyIM3.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\AtiHdmi.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\nusb3hub.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\drivers\AsIO.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\atiok3x2.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\System32\Drivers\StarOpen.SYS
\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
\??\C:\WINDOWS\system32\vsdatant.sys
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\System32\Drivers\HTTP.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff8adf19c0
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP2T1L0-10\
Lower Device Object: 0xffffffff8ae79d98
Lower Device Driver Name: \Driver\atapi\
Device already Exists: 0xffffffff898b3f18
Initializing...
Done!
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff8adf19c0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8ae76e08, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff8adf19c0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8adf49e8, DeviceName: \Device\00000079\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff8ae79d98, DeviceName: \Device\Ide\IdeDeviceP2T1L0-10\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0xffffffffe13edd40, 0xffffffff8adf19c0, 0xffffffff89457ab8
Lower DeviceData: 0xffffffffe3627d20, 0xffffffff8ae79d98, 0xffffffff898b3f18
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning directory: C:\WINDOWS\system32\drivers...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 1B921B92

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 63  Numsec = 1750985713
    Partition file system is NTFS
    Partition is bootable

    Partition 1 type is Extended with CSH (0x5)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1750986750  Numsec = 202536962

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 1000204886016 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-62-1953505168-1953525168)...
Done!
Performing system, memory and registry scan...
Done!
Scan finished
         

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.13.11

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
zensiert:: zensiert [administrator]

13.03.2013 20:09:24
mbar-log-2013-03-13 (20-09-24).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26728
Time elapsed: 23 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Und hier die Protokolle von OTL:

Code:
ATTFilter
OTL logfile created on: 14.03.2013 09:42:02 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,09 Gb Available Physical Memory | 64,25% Memory free
5,09 Gb Paging File | 3,92 Gb Available in Paging File | 77,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 834,94 Gb Total Space | 790,83 Gb Free Space | 94,72% Space Free | Partition Type: NTFS
Drive D: | 10,69 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: zensiert | User Name: zensiert | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\ICQ7M\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\WOT\IE\WOTUpdater.exe ()
PRC - C:\Programme\GNU\GnuPG\dirmngr.exe ()
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\ASUS\EPU\EPU.exe (
ASUSTeK Computer Inc.)
PRC - C:\Programme\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\ASUS.SYS\config\DVMExportService.exe (DeviceVM, Inc.)
PRC - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard)
PRC - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
MOD - C:\Programme\Mozilla Thunderbird\mozjs.dll ()
MOD - C:\Programme\Mozilla Thunderbird\nsldap32v60.dll ()
MOD - C:\Programme\Mozilla Thunderbird\nsldappr32v60.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\WOT\IE\WOTUpdater.exe ()
MOD - C:\Programme\FileZilla FTP Client\fzshellext.dll ()
MOD - C:\Programme\OpenOffice.org 3\program\libxml2.dll ()
MOD - C:\Programme\GNU\GnuPG\dirmngr.exe ()
MOD - C:\Programme\GNU\GnuPG\gpgex.dll ()
MOD - C:\Programme\GNU\GnuPG\libgcrypt-11.dll ()
MOD - C:\Programme\GNU\GnuPG\libksba-8.dll ()
MOD - C:\Programme\GNU\GnuPG\libassuan-0.dll ()
MOD - C:\Programme\GNU\GnuPG\libgpg-error-0.dll ()
MOD - C:\Programme\GNU\GnuPG\libw32pth-0.dll ()
MOD - C:\WINDOWS\system32\vpnapi.dll ()
MOD - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
MOD - C:\Programme\ASUS\EPU\pngio.dll ()
MOD - C:\Programme\ASUS\EPU\AiNap.dll ()
MOD - C:\Programme\ASUS\EPU\AsSpindownTimeout.dll ()
MOD - C:\WINDOWS\system32\AsIO.dll ()
MOD - C:\Programme\XP Codec Pack\filters\ac3filter.ax ()
MOD - C:\Programme\ASUS\EPU\AsusService.dll ()
MOD - C:\WINDOWS\system32\ffdshow.ax ()
MOD - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
MOD - C:\WINDOWS\system32\HPBHEALR.DLL ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\hotspot\jvm.dll ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\java.dll ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\zip.dll ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\verify.dll ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\net.dll ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\hpi.dll ()
MOD - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe ()
 
 
========== Services (SafeList) ==========
 
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (WOTUpdater) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\WOT\IE\WOTUpdater.exe ()
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (DirMngr) -- C:\Programme\GNU\GnuPG\dirmngr.exe ()
SRV - (wxpSvc) -- C:\Programme\wLite\wService.exe (Moonware Studios)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (DvmMDES) -- C:\ASUS.SYS\config\DVMExportService.exe (DeviceVM, Inc.)
SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\hpzipm12.exe (HP)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (ATICDSDr) -- C:\DOKUME~1\Ralf\LOKALE~1\Temp\{901DA~1\{1735A~1\atiicdxx.sys File not found
DRV - (mbamswissarmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (mbamchameleon) -- C:\WINDOWS\system32\drivers\mbamchameleon.sys ()
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (netwg311) -- C:\WINDOWS\system32\drivers\netwg311.sys (Texas Instruments)
DRV - (odysseyIM3) -- C:\WINDOWS\system32\drivers\odysseyIM3.sys (Funk Software, Inc.)
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (nusb3xhc) -- C:\WINDOWS\system32\drivers\nusb3xhc.sys (Renesas Electronics Corporation)
DRV - (nusb3hub) -- C:\WINDOWS\system32\drivers\nusb3hub.sys (Renesas Electronics Corporation)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Technologies, Inc.)
DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)
DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (AsIO) -- C:\WINDOWS\system32\drivers\AsIO.sys ()
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (AmdPPM) -- C:\WINDOWS\system32\drivers\AmdPPM.sys (Advanced Micro Devices)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (tap0801co) -- C:\WINDOWS\system32\drivers\tap0801co.sys (The OpenVPN Project)
DRV - (RandWDM) -- C:\WINDOWS\system32\drivers\RandWDM.sys (NIMH Laboratory of Neuropsychology)
DRV - (cdas16) -- C:\WINDOWS\system32\drivers\cdas16.sys (Syzgy Partners Corp)
DRV - (dio24) -- C:\WINDOWS\system32\drivers\dio24.sys (Syzgy Partners Corp)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (STV680) -- C:\WINDOWS\system32\drivers\stv680.sys (STMicroelectronics                                          )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=a0c80d2a000000000000000fb5461904
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\..\SearchScopes\{920389A1-BE24-4A28-B804-79C4A9E7DD45}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=858677&p={searchTerms}
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-789336058-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=858677&ilc=12"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledAddons: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2011.09.15
FF - prefs.js..extensions.enabledAddons: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=858677&p="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\PDF-X-Viewer\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\PDF-X-Viewer\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Programme\VLC DVD Player\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Programme\PDF-X-Viewer\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Firefox [2011.10.15 10:36:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 09:01:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.03.12 21:11:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2013.03.12 19:45:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\mail@shopping-preise.de: C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\extensions\mail@shopping-preise.de [2012.04.04 16:17:00 | 000,000,000 | ---D | M]
 
[2011.04.15 16:09:09 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Extensions
[2012.05.29 06:12:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions
[2011.12.23 18:08:44 | 000,000,000 | ---D | M] (JonDoFox) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{437be45a-4114-11dd-b9ab-71d256d89593}
[2011.12.23 18:08:43 | 000,000,000 | ---D | M] (Cookie Monster) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{45d8ff86-d909-11db-9705-005056c00008}
[2011.12.23 18:08:44 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2011.12.23 18:08:43 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.12.23 18:08:45 | 000,000,000 | ---D | M] (ProfileSwitcher) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{fa8476cf-a98c-4e08-99b4-65a69cb4b7d4}
[2011.12.23 18:08:43 | 000,000,000 | ---D | M] (HTTPS-Everywhere) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\https-everywhere@eff.org
[2011.12.23 18:08:45 | 000,000,000 | ---D | M] ("UnPlug") -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\unplug@compunach
[2012.10.23 06:58:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\extensions
[2012.03.02 19:06:00 | 000,000,000 | ---D | M] ("DHL Packstation Bestellhelfer") -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\extensions\{b8cbd8e0-e642-11dd-ba2f-0800200c9a66}
[2012.04.04 16:17:00 | 000,000,000 | ---D | M] (Shopping-preise.de) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\extensions\mail@shopping-preise.de
[2012.05.29 06:12:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\extensions
[2012.03.11 10:48:28 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\extensions\wotstats@mywot.com
[2011.04.24 17:09:55 | 000,002,122 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\searchplugins\chip-online-suche.xml
[2011.05.03 07:19:47 | 000,002,434 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\searchplugins\google-scholar.xml
[2011.06.06 09:39:04 | 000,001,326 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\searchplugins\scholarpedia-en.xml
[2011.04.17 10:40:59 | 000,001,330 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\searchplugins\wikipedia-en.xml
[2013.03.08 09:01:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.03.08 09:01:40 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2013.03.08 09:01:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\ffxtlbr@babylon.com
[2011.10.15 10:36:56 | 000,000,000 | ---D | M] (Citavi Picker) -- C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\SWISS ACADEMIC SOFTWARE\CITAVI PICKER\FIREFOX
File not found (No name found) -- C:\PROGRAMME\DEALIO TOOLBAR\FF
File not found (No name found) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM
File not found (No name found) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.04.20 16:17:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2013.03.08 09:01:48 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.08.14 16:49:30 | 000,171,136 | ---- | M] (Tracker Software Products (Canada) Ltd.) -- C:\Programme\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll
[2012.03.11 11:02:11 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.19 07:54:43 | 000,002,298 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
[2012.09.13 08:14:02 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.03.11 11:02:11 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.11 11:02:11 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.11 11:02:11 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.11 11:02:11 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.09.24 09:26:25 | 000,444,407 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 15263 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (WOT) - {9E571C81-21E7-496B-9E6B-127E60263022} - C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\WOT\IE\WOT.dll (WOT Services Oy)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Gpu Boost Driver] "C:\Program Files\ASUS\GPU Boost Driver\GpuBoostServer.exe" File not found
O4 - HKLM..\Run: [KeePass 2 PreLoad] C:\Programme\KeePass Password Safe 2\KeePass.exe (Dominik Reichl)
O4 - HKLM..\Run: [NUSB3MON] C:\Programme\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKLM..\Run: [Six Engine] C:\Programme\ASUS\EPU\EPU.exe (
ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe (Hewlett-Packard)
O4 - HKU\S-1-5-21-789336058-343818398-839522115-1004..\Run: [ICQ] C:\Programme\ICQ7M\ICQ.exe (ICQ, LLC.)
O4 - HKU\S-1-5-21-789336058-343818398-839522115-1004..\Run: [wjrnjtlw] C:\Dokumente und Einstellungen\Ralf\Lrol\plbaheijtlw.exe ()
O4 - HKLM..\RunOnce: [Z1] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG311v2 Smart Configuration.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\Ralf\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Ralf\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-789336058-343818398-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Citavi Picker... - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Internet Explorer\ShowContextMenu.html ()
O9 - Extra Button: ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - C:\Programme\ICQ7M\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - C:\Programme\ICQ7M\ICQ.exe (ICQ, LLC.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 193.189.244.202 193.189.244.194
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{55C49ACC-9522-43AD-A108-400D5BFD22D5}: DhcpNameServer = 192.168.1.1 193.189.244.202 193.189.244.194
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.15 07:07:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.13 19:45:07 | 000,143,176 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013.03.13 18:26:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.03.12 22:16:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Avira
[2013.03.12 22:11:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Opera
[2013.03.12 22:11:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Opera
[2013.03.12 22:11:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2013.03.12 22:10:55 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.03.12 22:10:53 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.03.12 22:10:53 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.03.12 22:10:53 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.03.12 22:10:48 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2013.03.12 22:10:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2013.03.12 21:36:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2013.03.12 21:08:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Qake
[2013.03.12 21:08:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ewifu
[2013.03.12 21:08:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Emys
[2013.03.12 19:45:57 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Thunderbird
[2013.03.12 17:35:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Urqe
[2013.03.12 17:35:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ikogov
[2013.03.12 17:35:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ekizk
[2013.03.12 15:25:53 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\EB2C8DD4
[2013.03.12 15:25:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Lrol
[2013.03.10 17:44:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Desktop\Bilder Kamera
[2013.03.08 09:32:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SPSS SmartViewer
[2013.03.08 09:31:40 | 000,000,000 | ---D | C] -- C:\Programme\SPSS Viewer
[2013.03.08 09:01:40 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.03.08 08:56:01 | 000,000,000 | ---D | C] -- C:\Programme\MySQL
[2013.03.05 12:01:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DzSoft PHP Editor
[2013.03.05 12:01:49 | 000,398,336 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartZip.dll
[2013.03.05 12:01:49 | 000,341,504 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartFtp.dll
[2013.03.05 12:01:49 | 000,326,144 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartSock.dll
[2013.03.05 12:01:49 | 000,291,840 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartSecure2.dll
[2013.03.05 12:01:49 | 000,248,320 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartCertificate.dll
[2013.03.05 12:01:49 | 000,000,000 | ---D | C] -- C:\Programme\DzSoft
[2013.03.05 12:01:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\DzSoft
[2013.02.22 16:03:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.02.20 18:10:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2013.02.20 17:56:12 | 000,262,560 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe
[2013.02.20 17:56:06 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013.02.20 17:56:06 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013.02.20 17:56:06 | 000,094,112 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.02.20 17:25:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Skype
[2013.02.20 17:25:09 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2013.02.20 17:25:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2013.02.20 17:25:05 | 000,000,000 | R--D | C] -- C:\Programme\Skype
[2013.02.20 17:24:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\*.tmp files -> C:\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.14 09:35:00 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2013.03.14 09:03:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.03.13 20:49:28 | 000,143,176 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013.03.13 19:45:06 | 000,035,144 | ---- | M] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys
[2013.03.13 19:24:34 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.03.13 19:23:43 | 000,000,021 | ---- | M] () -- C:\WINDOWS\S.dirmngr
[2013.03.13 19:23:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.13 19:23:20 | 3488,792,576 | -HS- | M] () -- C:\hiberfil.sys
[2013.03.13 18:21:29 | 003,145,782 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\desktop quarantäne.BMP
[2013.03.13 09:53:49 | 000,521,058 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.03.13 09:53:49 | 000,497,052 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.03.13 09:53:49 | 000,102,462 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.03.13 09:53:49 | 000,085,536 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.03.13 09:49:14 | 000,000,012 | ---- | M] () -- C:\WINDOWS\J
[2013.03.12 22:11:06 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.03.12 22:04:04 | 000,693,976 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.03.12 22:04:04 | 000,073,432 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.03.12 19:39:08 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.11 18:08:18 | 000,238,352 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.03.08 09:33:56 | 000,000,219 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.tgz
[2013.03.08 09:33:56 | 000,000,205 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.dll
[2013.03.08 09:33:56 | 000,000,016 | -H-- | M] () -- C:\WINDOWS\System32\servdat.slm
[2013.03.08 09:33:56 | 000,000,014 | ---- | M] () -- C:\WINDOWS\System32\ssprs.tgz
[2013.03.08 08:56:02 | 000,004,366 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2013.03.07 15:52:03 | 000,975,450 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\soße1.JPG
[2013.03.07 15:51:43 | 000,944,970 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\soße.JPG
[2013.03.06 15:47:46 | 000,928,266 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\vogelfutter.JPG
[2013.03.06 15:40:39 | 000,965,363 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\tittenmaus.JPG
[2013.03.06 15:19:35 | 001,007,097 | ---- | M] () -- C:\tittenfick.JPG
[2013.03.04 10:34:56 | 000,000,218 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\.recently-used.xbel
[2013.03.01 03:28:11 | 006,011,392 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[2013.02.20 17:55:53 | 000,094,112 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.02.20 17:55:51 | 000,861,088 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\npdeployJava1.dll
[2013.02.20 17:55:51 | 000,782,240 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\deployJava1.dll
[2013.02.20 17:55:51 | 000,262,560 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe
[2013.02.20 17:55:51 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013.02.20 17:55:51 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013.02.20 17:55:51 | 000,143,872 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javacpl.cpl
[2013.02.20 17:25:09 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013.02.14 08:31:11 | 000,001,031 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralf\Startmenü\Programme\Autostart\Dropbox.lnk
[2013.02.13 08:55:42 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\*.tmp files -> C:\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.13 19:45:06 | 000,035,144 | ---- | C] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys
[2013.03.13 19:23:43 | 000,000,021 | ---- | C] () -- C:\WINDOWS\S.dirmngr
[2013.03.13 18:20:27 | 003,145,782 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\desktop quarantäne.BMP
[2013.03.13 08:17:19 | 000,000,012 | ---- | C] () -- C:\WINDOWS\J
[2013.03.12 22:11:06 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.03.07 15:52:03 | 000,975,450 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\soße1.JPG
[2013.03.07 15:51:43 | 000,944,970 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\soße.JPG
[2013.03.06 15:47:42 | 000,928,266 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\vogelfutter.JPG
[2013.03.06 15:40:39 | 000,965,363 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Desktop\tittenmaus.JPG
[2013.03.06 15:19:35 | 001,007,097 | ---- | C] () -- C:\tittenfick.JPG
[2013.03.04 10:34:56 | 000,000,218 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\.recently-used.xbel
[2013.02.20 17:25:09 | 000,001,872 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013.01.10 10:33:38 | 000,897,552 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012.12.13 16:58:08 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll
[2012.12.13 16:58:08 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll
[2012.12.13 16:58:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ssprs.dll
[2012.12.13 16:58:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\serauth2.dll
[2012.12.13 16:58:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\serauth1.dll
[2012.12.13 16:58:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nsprs.dll
[2012.09.15 18:13:19 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2012.04.04 16:16:57 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\sqlite36_engine.dll
[2012.04.04 16:16:45 | 005,413,962 | ---- | C] () -- C:\Programme\JPG Illuminator Installer.zip
[2012.03.19 07:06:50 | 000,000,331 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Unbenannt1.html
[2012.03.11 10:48:17 | 000,011,008 | ---- | C] () -- C:\WINDOWS\SHARE.EXE
[2012.02.16 07:02:31 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.10.12 08:22:39 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011.06.06 13:44:10 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\advd.dll
[2011.06.06 13:44:10 | 000,023,040 | ---- | C] () -- C:\WINDOWS\System32\auth.dll
[2011.06.06 13:44:09 | 000,559,104 | ---- | C] () -- C:\WINDOWS\lame.exe
[2011.06.06 13:44:09 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2011.06.01 14:11:28 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\.pulse-cookie
[2011.06.01 14:11:26 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\.esd_auth
[2011.05.25 06:40:45 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.05.21 09:49:14 | 000,105,292 | ---- | C] () -- C:\WINDOWS\restart.exe
[2011.05.21 09:05:23 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IPSK.dll
[2011.05.21 09:05:23 | 000,184,320 | ---- | C] () -- C:\WINDOWS\System32\jpg32.dll
[2011.05.21 09:05:23 | 000,065,024 | ---- | C] () -- C:\WINDOWS\System32\amcap504.exe
[2011.05.21 09:05:23 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\VWJPG.dll
[2011.05.21 09:05:23 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\VWBMP.dll
[2011.05.21 09:05:23 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\VMIO.dll
[2011.05.21 09:05:23 | 000,014,381 | ---- | C] () -- C:\WINDOWS\Tw504a.ini
[2011.05.21 09:05:23 | 000,001,906 | ---- | C] () -- C:\WINDOWS\CA504A.INI
[2011.05.21 09:05:23 | 000,000,473 | ---- | C] () -- C:\WINDOWS\System32\I-dext504.ini
[2011.05.21 09:05:23 | 000,000,467 | ---- | C] () -- C:\WINDOWS\System32\S-dext504.ini
[2011.05.21 09:05:23 | 000,000,464 | ---- | C] () -- C:\WINDOWS\System32\F-dext504.ini
[2011.05.21 09:05:23 | 000,000,458 | ---- | C] () -- C:\WINDOWS\System32\P-dext504.ini
[2011.05.21 09:05:23 | 000,000,456 | ---- | C] () -- C:\WINDOWS\System32\G-dext504.ini
[2011.05.21 09:05:23 | 000,000,454 | ---- | C] () -- C:\WINDOWS\System32\H-dext504.ini
[2011.05.21 09:05:23 | 000,000,453 | ---- | C] () -- C:\WINDOWS\System32\E-dext504.ini
[2011.05.21 09:05:23 | 000,000,164 | ---- | C] () -- C:\WINDOWS\Setup504.ini
[2011.05.04 20:09:17 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.15 17:48:01 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2011.04.15 17:48:01 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll
[2011.04.15 16:57:15 | 000,017,728 | ---- | C] () -- C:\WINDOWS\hplj1300.ini
[2011.04.15 16:09:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.15 15:55:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2011.04.15 15:55:48 | 000,887,724 | R--- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2011.04.15 15:55:48 | 000,200,828 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011.04.15 15:55:48 | 000,000,003 | R--- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2011.04.15 15:27:08 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2011.04.15 15:27:08 | 000,011,296 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2011.04.15 15:27:06 | 000,011,832 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys
[2011.04.15 15:27:06 | 000,010,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys
[2011.04.15 15:07:24 | 000,080,416 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011.04.15 15:03:18 | 000,051,435 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2011.04.15 15:02:08 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2011.04.15 15:02:01 | 000,001,769 | ---- | C] () -- C:\WINDOWS\Language_trs.ini
[2011.04.15 15:01:59 | 000,049,152 | R--- | C] () -- C:\WINDOWS\DAOD.exe
[2011.04.15 15:01:56 | 000,038,244 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2011.04.15 15:01:56 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2011.04.15 07:08:50 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.15 07:05:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.04.15 05:02:05 | 000,004,366 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.15 05:00:39 | 000,238,352 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== ZeroAccess Check ==========
 
[2011.04.15 17:14:58 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.05.23 08:43:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2012.05.29 07:05:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alternate
[2011.06.08 08:48:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avnex
[2011.10.12 08:22:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011.04.15 15:26:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2012.04.20 07:16:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012.03.14 06:56:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
[2011.10.16 06:39:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gibraltar
[2011.12.05 08:44:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU
[2011.12.02 07:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nitro PDF
[2012.06.08 06:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDF Writer
[2011.11.10 13:56:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
[2011.04.15 17:49:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel
[2011.10.15 10:36:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software
[2011.05.21 09:37:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\webcamXP 5
[2012.05.03 14:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\www.rene-zeidler.de
[2011.04.15 07:23:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{70FE9869-8D38-4EB3-8541-A735C2285CF7}
[2011.12.05 08:44:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\gnupg
[2013.03.12 22:11:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Opera
[2011.06.08 07:43:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Audacity
[2012.09.17 07:39:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\BOM
[2011.10.12 08:22:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Canneverbe Limited
[2011.06.06 13:44:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\concept design
[2012.04.04 16:16:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\DesktopIconForAmazon
[2011.12.02 07:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Downloaded Installations
[2013.03.13 19:26:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Dropbox
[2013.03.05 12:01:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\DzSoft
[2013.03.13 18:25:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\EB2C8DD4
[2013.03.12 17:35:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ekizk
[2012.04.20 07:16:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\elsterformular
[2013.03.13 18:03:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Emys
[2013.03.12 21:08:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ewifu
[2013.02.25 10:35:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\FileZilla
[2013.02.14 08:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\gnupg
[2012.12.05 16:35:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\gtk-2.0
[2013.03.13 18:08:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\ICQ
[2013.03.13 18:03:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Ikogov
[2011.06.01 15:09:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\InfraRecorder
[2012.09.01 21:39:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\inkscape
[2011.10.06 14:56:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\InterTrust
[2012.02.26 12:02:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\JonDo
[2012.04.04 16:18:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\jpg-Illuminator
[2012.03.01 09:59:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\KeePass
[2011.12.21 15:00:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Nitro PDF
[2011.05.04 10:00:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\OpenOffice.org
[2012.02.17 15:54:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Opera
[2012.06.08 06:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\PDF Writer
[2011.08.03 11:22:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Philipp Winterberg
[2011.11.10 13:58:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\PixelPlanet
[2013.03.12 21:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Qake
[2012.12.13 16:38:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\RStudio
[2011.11.03 16:02:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Swiss Academic Software
[2011.12.05 07:38:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Thunderbird
[2013.03.13 12:37:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Urqe
[2012.03.11 10:48:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\WOT
[2012.05.03 14:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\www.rene-zeidler.de
 
========== Purity Check ==========
 
 
 
========== Files - Unicode (All) ==========
[2013.03.12 22:07:40 | 000,000,032 | ---- | M] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀妦㨣䐀㨀尀
[2013.03.12 22:07:40 | 000,000,028 | ---- | M] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀秨먏䐀㨀尀
[2013.03.12 22:07:40 | 000,000,019 | ---- | M] ()(C:\WINDOWS\???) -- C:\WINDOWS\尺嫞뚐
[2013.03.12 22:07:40 | 000,000,016 | ---- | M] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀姈먏䐀㨀尀
[2013.03.12 22:07:40 | 000,000,008 | ---- | M] ()(C:\WINDOWS\???) -- C:\WINDOWS\尀嫞뚐
[2013.03.12 15:25:46 | 000,000,032 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀妦㨣䐀㨀尀
[2013.03.12 15:25:46 | 000,000,028 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀秨먏䐀㨀尀
[2013.03.12 15:25:46 | 000,000,019 | ---- | C] ()(C:\WINDOWS\???) -- C:\WINDOWS\尺嫞뚐
[2013.03.12 15:25:46 | 000,000,016 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀姈먏䐀㨀尀
[2013.03.12 15:25:46 | 000,000,008 | ---- | C] ()(C:\WINDOWS\???) -- C:\WINDOWS\尀嫞뚐

< End of report >
         
Code:
ATTFilter
OTL Extras logfile created on: 14.03.2013 09:42:02 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,09 Gb Available Physical Memory | 64,25% Memory free
5,09 Gb Paging File | 3,92 Gb Available in Paging File | 77,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 834,94 Gb Total Space | 790,83 Gb Free Space | 94,72% Space Free | Partition Type: NTFS
Drive D: | 10,69 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: | User Ralf | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
[HKEY_USERS\S-1-5-21-789336058-343818398-839522115-1004\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Programme\Opera\Opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\concept design\music2go 2\music2go.exe" = C:\Programme\concept design\music2go 2\music2go.exe:*:Enabled:music2go2
"C:\Programme\ICQ7M\ICQ.exe" = C:\Programme\ICQ7M\ICQ.exe:*:Enabled:ICQ7M -- (ICQ, LLC.)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe" = C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe:*:Disabled:javaw -- ()
"C:\Programme\SPSSInc\PASWStatistics18\paswstat.com" = C:\Programme\SPSSInc\PASWStatistics18\paswstat.com:*:Disabled:Statistics18:com
"C:\Programme\SPSSInc\PASWStatistics18\paswstat.exe" = C:\Programme\SPSSInc\PASWStatistics18\paswstat.exe:*:Disabled:Statistics18:exe
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\wLite\wLite.exe" = C:\Programme\wLite\wLite.exe:*:Enabled:webcamXP -- (Moonware Studios)
"C:\Programme\wLite\wService.exe" = C:\Programme\wLite\wService.exe:*:Enabled:webcamXP Service -- (Moonware Studios)
"C:\Programme\andLinux\pulseaudio\pulseaudio.exe" = C:\Programme\andLinux\pulseaudio\pulseaudio.exe:*:Disabled:pulseaudio -- ()
"C:\Programme\andLinux\Xming\Xming.exe" = C:\Programme\andLinux\Xming\Xming.exe:*:Disabled:Xming X Server -- ()
"C:\Programme\concept design\music2go 2\music2go.exe" = C:\Programme\concept design\music2go 2\music2go.exe:*:Enabled:music2go2
"C:\Dokumente und Einstellungen\Ralf\Desktop\eclipse-SDK-3.6.2-win32\eclipse\eclipse.exe" = C:\Dokumente und Einstellungen\Ralf\Desktop\eclipse-SDK-3.6.2-win32\eclipse\eclipse.exe:*:Enabled:eclipse
"C:\Dokumente und Einstellungen\Ralf\Desktop\eclipse-SDK-3.6.2-win32\eclipse\eclipsec.exe" = C:\Dokumente und Einstellungen\Ralf\Desktop\eclipse-SDK-3.6.2-win32\eclipse\eclipsec.exe:*:Enabled:eclipsec
"C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe" = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe:*:Enabled:Kodak Software Updater
"C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe" = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe:*:Enabled:EasyShare
"C:\Programme\IBM\SPSS\Statistics\19\JRE\bin\javaw.exe" = C:\Programme\IBM\SPSS\Statistics\19\JRE\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (IBM)
"C:\Programme\IBM\SPSS\Statistics\19\stats.exe" = C:\Programme\IBM\SPSS\Statistics\19\stats.exe:*:Disabled:Statistics19:exe -- (SPSS Inc.)
"C:\Programme\IBM\SPSS\Statistics\19\stats.com" = C:\Programme\IBM\SPSS\Statistics\19\stats.com:*:Disabled:Statistics19:com -- (SPSS Inc.)
"C:\Programme\IBM\SPSS\Statistics\19\WinWrapIDE.exe" = C:\Programme\IBM\SPSS\Statistics\19\WinWrapIDE.exe:*:Disabled:SPSS Basic Script Editor -- (SPSS Inc.)
"C:\Programme\Gemeinsame Dateien\XPressUpdate\XPressUpdate.exe" = C:\Programme\Gemeinsame Dateien\XPressUpdate\XPressUpdate.exe:*:Enabled:XPressUpdate -- (PixelPlanet GmbH)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\FileZilla FTP Client\filezilla.exe" = C:\Programme\FileZilla FTP Client\filezilla.exe:*:Enabled:FileZilla FTP Client -- (FileZilla Project)
"C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\Programme\ICQ7M\ICQ.exe" = C:\Programme\ICQ7M\ICQ.exe:*:Enabled:ICQ7M -- (ICQ, LLC.)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{047F20E4-0212-4286-9BF3-58FA54CB5CF7}" = SPSS SmartViewer 15G
"{06C43FAA-7226-41EF-A05E-9AE0AA849FFE}" = IBM SPSS Statistics 19
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1485B7CD-4CBD-4039-8EAE-5A22993D7F54}" = hp LaserJet 1150 / 1300
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20B1B020-DEAE-48D1-9960-D4C3185D758B}" = Phase 5 HTML-Editor
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{24982E4E-E4C1-44C6-9B21-9E2A2F898BB0}" = PdfCrypter 2.8
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216027F0}" = Java(TM) 6 Update 27
"{26A24AE4-039D-4CA4-87B4-2F83217015FF}" = Java 7 Update 15
"{2B11BA9C-7F97-4C16-970F-1491FD77969B}_is1" = shopping-preise.de - AddOn für Firefox
"{2E0DFC24-7C4B-4DCF-BCC7-81C513BED3BC}" = Python 2.5.4
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{341739C6-79A4-4F7B-A34E-FDAE88749246}" = G*Power 3.1.2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35D6F6F8-FD38-4474-9327-868E4841168F}_is1" = EquivTest
"{37569A10-CB38-4615-8B32-0BF9FF5D887D}_is1" = concept/design Video Jukebox
"{37921810-D90B-4DFD-9284-BE35033B39C8}" = Mega Camera Manager
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.2
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{5442DAB8-7177-49E1-8B22-09A049EA5996}" = Renesas Electronics USB 3.0 Host Controller Driver
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{781B39EC-2E18-41FC-9B00-B84E4FFCA85F}" = ICQ7M
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0012-0000-0000-0000000FF1CE}" = Microsoft Office Standard 2007
"{90120000-0012-0000-0000-0000000FF1CE}_STANDARD_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_STANDARD_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_STANDARD_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_STANDARD_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_STANDARD_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_STANDARD_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_STANDARD_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_STANDARD_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_STANDARD_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_STANDARD_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{936D42B8-FE51-41D5-A74A-6182F6CDB17B}" = NETGEAR WG311v2 802.11g Wireless PCI Adapter
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96E3AED5-3D0B-4BB0-84C2-1EDADB204487}" = FlashFXP v4.1
"{99AD9D6D-A456-49EE-8360-F22EE7AA1272}" = Express Gate
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BD2DD45-8763-4F12-BDC6-958FCFEF0FCB}" = Microsoft IntelliType Pro 8.2
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C2AC00C-0C06-4B7E-97A4-A833808D54D6}" = EPU
"{9D1F3849-C808-4D5F-AB86-C8DD27B24439}" = Steuer-Spar-Erklärung Selbstständige 2012
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1" = PDF-Viewer
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}" = Cisco Systems VPN Client 5.0.07.0290
"{B116058B-2716-44A0-BAE8-D704FD688719}" = Live SDK
"{B132EFD2-BF03-48AA-8EC8-404E4C5199C5}" = IBM SPSS Amos 19
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B8887E02-C910-4498-A7C0-186ABFDCD110}" = GPU Boost Driver
"{B89211A0-5C81-11DD-8757-000ACD11CAF7}" = Python 2.5 pygame-1.8.1
"{BBFD9BC5-BB9A-4F9C-AD77-0BE3897FFE0F}" = MySQL Connector/ODBC 3.51
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{E12C6653-1FF0-4686-ADB8-589C13AE761F}" = Citavi
"{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}" = QuickTime
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"7-Zip" = 7-Zip 9.20
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Alternate Pic View_is1" = Alternate Pic View 1.424
"Avira AntiVir Desktop" = Avira Free Antivirus
"B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"Bullzip PDF Printer_is1" = Bullzip PDF Printer 8.2.0.1406
"Camera" = AIPTEK PenCam Manager
"Counting Span" = Counting Span
"DzSoftPhpEditor_is1" = DzSoft PHP Editor 4.2.7
"ElsterFormular 13.2.0.8623u" = ElsterFormular
"FileZilla Client" = FileZilla Client 3.5.3
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"GnuPG" = GNU Privacy Guard
"GPG4Win" = Gpg4win (2.1.0)
"GPL Ghostscript Lite_is1" = GPL Ghostscript Lite 9.04
"Gpower_2.0i" = Gpower 2.0i
"ie8" = Windows Internet Explorer 8
"InfraRecorder" = InfraRecorder
"Inkscape" = Inkscape 0.48.2
"InstallShield_{5442DAB8-7177-49E1-8B22-09A049EA5996}" = Renesas Electronics USB 3.0 Host Controller Driver
"InstallShield_{936D42B8-FE51-41D5-A74A-6182F6CDB17B}" = NETGEAR WG311v2 802.11g Wireless PCI Adapter
"JAP" = JAP
"JonDoUninstall" = JonDo
"KeePassPasswordSafe2_is1" = KeePass Password Safe 2.18
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft IntelliType Pro 8.2" = Microsoft IntelliType Pro 8.2
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"Mozilla Thunderbird 17.0.4 (x86 de)" = Mozilla Thunderbird 17.0.4 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Opera 11.61.1250" = Opera 11.61
"pdfsam" = pdfsam
"pygame-py2.5" = Python 2.5 pygame-1.9.1release
"R for Windows 2.15.1_is1" = R for Windows 2.15.1
"RAR File Open Knife - Free Opener" = RAR File Open Knife - Free Opener
"RStudio" = RStudio
"ST6UNST #1" = GEHA Design-Assistent
"ST6UNST #2" = GEHA Design-Assistent (C:\Programme\GEHA\)
"ST6UNST #3" = GEHA Design-Assistent (C:\Programme\GEHA\) #3
"STANDARD" = Microsoft Office Standard 2007
"VLC media player" = VLC media player 2.0.0
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XP Codec Pack" = XP Codec Pack
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-789336058-343818398-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"GeoGebra 4" = GeoGebra 4
"SwingSet3" = SwingSet3
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 27.02.2013 07:13:35 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.02.2013 07:13:37 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.02.2013 07:13:38 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.02.2013 07:13:42 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.02.2013 07:13:42 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.02.2013 07:43:53 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.02.2013 07:43:54 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung stats.exe, Version 19.0.0.329, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.02.2013 15:27:30 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PicViewer.exe, Version 0.0.0.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.03.2013 05:19:41 | Computer Name = RG-RECHNER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung stats.exe, Version 19.0.0.329, fehlgeschlagenes
 Modul spssstat.dll, Version 19.0.0.329, Fehleradresse 0x00005969.
 
Error - 13.03.2013 14:26:38 | Computer Name = RG-RECHNER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msnmsgr.exe, Version 14.0.8117.416, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ OSession Events ]
Error - 04.09.2011 02:55:09 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 6
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 04.09.2011 02:55:49 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 13
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 04.09.2011 02:56:22 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 11
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 04.09.2011 02:56:52 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 10
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 04.09.2011 02:57:17 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 4
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 11.10.2011 13:07:40 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 3959
 seconds with 3000 seconds of active time.  This session ended with a crash.
 
Error - 24.11.2011 03:34:01 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 4170
 seconds with 3060 seconds of active time.  This session ended with a crash.
 
Error - 02.01.2012 11:58:07 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1214819
 seconds with 137460 seconds of active time.  This session ended with a crash.
 
Error - 10.05.2012 05:39:46 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 93095
 seconds with 12360 seconds of active time.  This session ended with a crash.
 
Error - 10.10.2012 03:33:26 | Computer Name = RG-RECHNER | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6661.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 56063
 seconds with 1020 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 18.02.2013 11:11:34 | Computer Name = RG-RECHNER | Source = Print | ID = 6161
Description = Das Dokument Microsoft Word - Rechnung_100 €, im Besitz von Ralf, 
konnte nicht auf dem Drucker hp LaserJet 1300 PCL 6 gedruckt werden. Datentyp: NT
 EMF 1.008. Größe der Warteschlangendatei in Bytes: 131072. Anzahl der gedruckten
 Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten:
 0. Clientcomputer: \\RG-RECHNER. Vom Druckprozessor zurückgelieferter Win32-Fehlercode:
 259 (0x103). 
 
Error - 20.02.2013 05:40:20 | Computer Name = RG-RECHNER | Source = DCOM | ID = 10010
Description = Der Server "{5A5AA0AA-1DEB-4683-96B0-B43301E83971}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 01.03.2013 07:44:22 | Computer Name = RG-RECHNER | Source = System Error | ID = 1003
Description = Fehlercode 100000d1, 1. Parameter 00000000, 2. Parameter 00000002,
 3. Parameter 00000001, 4. Parameter b58734a5.
 
Error - 01.03.2013 07:45:22 | Computer Name = RG-RECHNER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 01.03.2013 07:45:22 | Computer Name = RG-RECHNER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 12.03.2013 14:41:37 | Computer Name = RG-RECHNER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 12.03.2013 14:41:37 | Computer Name = RG-RECHNER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 12.03.2013 16:07:45 | Computer Name = RG-RECHNER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 12.03.2013 16:07:45 | Computer Name = RG-RECHNER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 13.03.2013 13:05:19 | Computer Name = RG-RECHNER | Source = DCOM | ID = 10010
Description = Der Server "{5A5AA0AA-1DEB-4683-96B0-B43301E83971}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
 
< End of report >
         
__________________
Miniaturansicht angehängter Grafiken
-desktop-quarantaene.jpg  

Alt 14.03.2013, 10:37   #4
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Bite so ein Antivir-Log erstellen: http://www.trojaner-board.de/125889-...tml#post941534



Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die Platzhalter wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL

DRV - (ATICDSDr) -- C:\DOKUME~1\Ralf\LOKALE~1\Temp\{901DA~1\{1735A~1\atiicdxx.sys File not found 
O4 - HKU\S-1-5-21-789336058-343818398-839522115-1004..\Run: [wjrnjtlw] C:\Dokumente und Einstellungen\Ralf\Lrol\plbaheijtlw.exe () 
O4 - HKLM..\RunOnce: [Z1] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) 
[2013.03.12 15:25:53 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\EB2C8DD4 
[2013.03.12 15:25:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ralf\Lrol 
[2013.03.12 15:25:46 | 000,000,032 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀妦㨣䐀㨀尀 
[2013.03.12 15:25:46 | 000,000,028 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀秨먏䐀㨀尀 
[2013.03.12 15:25:46 | 000,000,019 | ---- | C] ()(C:\WINDOWS\???) -- C:\WINDOWS\尺嫞뚐 
[2013.03.12 15:25:46 | 000,000,016 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\㨀姈먏䐀㨀尀 
[2013.03.12 15:25:46 | 000,000,008 | ---- | C] ()(C:\WINDOWS\???) -- C:\WINDOWS\尀嫞뚐 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\zensiert\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Anwendungsdaten\*.tmp
C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\*.exe
C:\Dokumente und Einstellungen\zensiert\*.exe
C:\Dokumente und Einstellungen\zensiert\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.03.2013, 14:56   #5
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Hier schon mal der LOG von ANTIVIR. Die anderen Schritte führe ich gerade durch.


Alt 14.03.2013, 15:16   #6
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



1. Schritt: Ich weiß nicht was die Platzhalter sind. Habe das Script unverändert durchgeführt, hat offenbar funktioniert. Es gab einen Neustart. Weitere Schritte folgen.

Code:
ATTFilter
All processes killed
========== OTL ==========
Service ATICDSDr stopped successfully!
Service ATICDSDr deleted successfully!
File  C:\DOKUME~1\Ralf\LOKALE~1\Temp\{901DA~1\{1735A~1\atiicdxx.sys File not found not found.
Registry value HKEY_USERS\S-1-5-21-789336058-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\wjrnjtlw deleted successfully.
C:\Dokumente und Einstellungen\Ralf\Lrol\plbaheijtlw.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Z1 deleted successfully.
C:\WINDOWS\system32\cmd.exe moved successfully.
C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\EB2C8DD4 folder moved successfully.
C:\Dokumente und Einstellungen\Ralf\Lrol folder moved successfully.
C:\WINDOWS\㨀妦㨣䐀㨀尀 moved successfully.
C:\WINDOWS\㨀秨먏䐀㨀尀 moved successfully.
C:\WINDOWS\尺嫞뚐 moved successfully.
C:\WINDOWS\㨀姈먏䐀㨀尀 moved successfully.
C:\WINDOWS\尀嫞뚐 moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\zensiert\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
File\Folder C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Temp\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\zensiert\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\zensiert\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder C:\Dokumente und Einstellungen\zensiert\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
No captured output from command...
C:\Dokumente und Einstellungen\Ralf\Desktop\cmd.bat deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Opera cache emptied: 1183404 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Ralf
->Temp folder emptied: 2412294898 bytes
->Temporary Internet Files folder emptied: 299196034 bytes
->Java cache emptied: 27438089 bytes
->FireFox cache emptied: 274521268 bytes
->Opera cache emptied: 16332039 bytes
->Flash cache emptied: 1740 bytes
 
%systemdrive% .tmp files removed: 146 bytes
%systemroot% .tmp files removed: 6004908 bytes
%systemroot%\System32 .tmp files removed: 3614087 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4439083 bytes
RecycleBin emptied: 13786977 bytes
 
Total Files Cleaned = 2.917,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03142013_150450

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temp\2011-09-16-1183481694_04-RG.PDF  not found!
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temp\2011-11-17-1203974079_04-RG.PDF  not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
Schritt 2: Habe AVG wie beschrieben runtergeladen und installiert. Hat eine Bedrohung gefunden und entfernt. Ich bin allerdings zu dumm um die Protokolldatei zu finden, habe schon im AVG-Ordner gesucht und mit der Suche von Windows. Die verlinkte Anleitung ist nicht mehr ganz mit der neuesten Version von AVG identisch.

Geraade eben hat sich, weiß gar nicht wieso da ich gerade nicht am Rechner war, ANTIVIR noch mal gemeldet, unten stehend ist das Protokoll.

Arbeite nun an Schritt 3.

Code:
ATTFilter
Exportierte Ereignisse:

14.03.2013 17:37 [Echtzeit-Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061871.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Agent.110592.28' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern
         
Hier das Ergebnis für Schritt 3:

Code:
ATTFilter
# AdwCleaner v2.114 - Datei am 14/03/2013 um 18:40:17 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Ralf - RG-RECHNER
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Ralf\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\Uninstall.exe
Datei Gefunden : C:\Programme\Mozilla Firefox\searchplugins\babylon.xml
Datei Gefunden : C:\user.js
Ordner Gefunden : C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\DesktopIconForAmazon
Ordner Gefunden : C:\Programme\Mozilla Firefox\Extensions\ffxtlbr@babylon.com

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Schlüssel Gefunden : HKCU\Software\Softonic
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\b
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C878CD69-85DB-426B-81A3-E71175AAEB91}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{DA64E459-FBF3-4A9C-A3E8-FD0240C4E611}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BabylonToolbar
Schlüssel Gefunden : HKU\S-1-5-21-789336058-343818398-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://isearch.babylon.com/?babsrc=NT_ss&mntrId=a0c80d2a000000000000000fb5461904

-\\ Mozilla Firefox v19.0.2 (de)

Datei : C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\prefs.js

Gefunden : user_pref("pttl.menu-search-groups-tab", false);
Gefunden : user_pref("pttl.menu-search-groups-win", false);

Datei : C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\prefs.js

Gefunden : user_pref("extensions.BabylonToolbar.admin", false);
Gefunden : user_pref("extensions.BabylonToolbar.aflt", "orgnl");
Gefunden : user_pref("extensions.BabylonToolbar.bbDpng", 24);
Gefunden : user_pref("extensions.BabylonToolbar.dfltSrch", false);
Gefunden : user_pref("extensions.BabylonToolbar.hmpg", false);
Gefunden : user_pref("extensions.BabylonToolbar.lastDP", 24);
Gefunden : user_pref("extensions.BabylonToolbar.lastVrsnTs", "");
Gefunden : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "15.0");
Gefunden : user_pref("extensions.BabylonToolbar.newTab", true);
Gefunden : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_FFUP");
Gefunden : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Gefunden : user_pref("extensions.BabylonToolbar.propectorlck", 87032742);
Gefunden : user_pref("extensions.BabylonToolbar.smplGrp", "tzb");

Datei : C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\n5v92fad.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Opera v11.61.1250.0

Datei : C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

Datei : C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [5520 octets] - [14/03/2013 18:40:17]

########## EOF - C:\AdwCleaner[R1].txt - [5580 octets] ##########
         

Alt 14.03.2013, 19:09   #7
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Zitat:
Schritt 2: Habe AVG wie beschrieben runtergeladen und installiert.
Wo steht was von AVG?

Bite halte dich an die Anweisungen!!!
__________________
Mfg, t'john
Das TB unterstützen

Alt 15.03.2013, 11:57   #8
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Bitte entschuldige meinen Fehler.

Habe nun Schritt 2 erneut bzw. richtig ausgeführt, hier das Protokoll:

Code:
ATTFilter
Internet Explorer 8.0.6001.18702
Ralf :: RG-RECHNER [Administrator]

Schutz: Aktiviert

15.03.2013 10:41:06
mbam-log-2013-03-15 (10-41-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 317820
Laufzeit: 1 Stunde(n), 13 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\felipe\SALFLIBC.DLL (Spyware.Zbot.USBV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061597.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061873.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061874.exe (Trojan.FakeMS.PRGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061875.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP221\A0062023.dll (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Alt 15.03.2013, 12:12   #9
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Warum ist das Logfile unvollstaendig?
Der Anfang fehlt.


Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
Mfg, t'john
Das TB unterstützen

Alt 15.03.2013, 15:46   #10
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Hier der vollständige Log:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.15.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ralf :: RG-RECHNER [Administrator]

Schutz: Aktiviert

15.03.2013 10:41:06
mbam-log-2013-03-15 (10-41-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 317820
Laufzeit: 1 Stunde(n), 13 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\felipe\SALFLIBC.DLL (Spyware.Zbot.USBV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061597.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061873.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061874.exe (Trojan.FakeMS.PRGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP220\A0061875.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{9AEE90BE-2ABF-48AB-9309-E5F859AC835D}\RP221\A0062023.dll (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Und hier der Log von Combofix:

Code:
ATTFilter
ComboFix 13-03-14.02 - Ralf 15.03.2013  13:00:17.1.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2027 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ralf\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Qake
c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Qake\ofcan.yxl
c:\dokumente und einstellungen\Ralf\Desktop\.lnk
c:\dokumente und einstellungen\Ralf\Eigene Dateien\~WRL2636.tmp
c:\dokumente und einstellungen\Ralf\WINDOWS
C:\input.txt
c:\windows\IsUn0407.exe
c:\windows\system32\lsprst7.dll
c:\windows\Threed.vbx
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-15 bis 2013-03-15  ))))))))))))))))))))))))))))))
.
.
2013-03-15 11:53 . 2013-03-15 11:53	--------	d-----w-	c:\windows\LastGood
2013-03-15 11:47 . 2013-03-15 11:47	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Avira
2013-03-15 11:45 . 2013-03-15 11:46	--------	d-----w-	c:\programme\Ask.com
2013-03-15 11:45 . 2013-03-15 11:46	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2013-03-15 11:45 . 2012-11-27 09:01	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-03-15 11:45 . 2012-11-22 14:51	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-03-15 11:45 . 2012-11-22 14:50	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-03-15 11:45 . 2013-03-15 11:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-03-15 11:45 . 2013-03-15 11:45	--------	d-----w-	c:\programme\Avira
2013-03-15 10:06 . 2013-03-15 10:06	--------	d-----w-	c:\programme\gs
2013-03-15 07:41 . 2013-03-15 07:41	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Malwarebytes
2013-03-15 07:41 . 2013-03-15 07:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-03-15 07:41 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-14 14:21 . 2013-03-14 14:21	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\TuneUp Software
2013-03-14 14:20 . 2013-03-15 11:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG2013
2013-03-14 14:20 . 2013-03-14 14:20	--------	d-----w-	c:\programme\AVG
2013-03-14 14:17 . 2013-03-15 11:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2013-03-14 14:17 . 2013-03-15 11:54	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\Avg2013
2013-03-14 14:17 . 2013-03-14 14:17	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\MFAData
2013-03-14 14:04 . 2013-03-14 14:04	--------	d-----w-	C:\_OTL
2013-03-14 13:32 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023.sys
2013-03-14 13:32 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
2013-03-13 18:45 . 2013-03-13 18:45	35144	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2013-03-13 17:26 . 2013-03-13 17:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-13 07:49 . 2013-03-13 07:49	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2013-03-12 21:11 . 2013-03-12 21:11	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Opera
2013-03-12 21:11 . 2013-03-12 21:11	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2013-03-12 20:36 . 2013-03-13 17:20	--------	d-----w-	c:\windows\system32\NtmsData
2013-03-12 20:08 . 2013-03-13 17:03	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Emys
2013-03-12 20:08 . 2013-03-12 20:08	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Ewifu
2013-03-12 18:45 . 2013-03-12 18:52	--------	d-----w-	c:\programme\Mozilla Thunderbird
2013-03-12 16:35 . 2013-03-13 17:03	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Ikogov
2013-03-12 16:35 . 2013-03-13 11:37	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Urqe
2013-03-12 16:35 . 2013-03-12 16:35	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Ekizk
2013-03-12 14:35 . 2013-03-12 14:35	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2013-03-08 08:31 . 2013-03-08 08:34	--------	d-----w-	c:\programme\SPSS Viewer
2013-03-08 07:56 . 2013-03-08 07:56	--------	d-----w-	c:\programme\MySQL
2013-03-05 11:01 . 2013-03-05 11:01	--------	d-----w-	c:\programme\DzSoft
2013-03-05 11:01 . 2013-03-05 11:01	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\DzSoft
2013-03-05 11:01 . 2010-03-25 12:12	341504	----a-w-	c:\windows\system32\DartFtp.dll
2013-03-05 11:01 . 2010-03-25 12:11	398336	----a-w-	c:\windows\system32\DartZip.dll
2013-03-05 11:01 . 2010-03-25 12:09	326144	----a-w-	c:\windows\system32\DartSock.dll
2013-03-05 11:01 . 2010-02-19 10:03	291840	----a-w-	c:\windows\system32\DartSecure2.dll
2013-03-05 11:01 . 2010-02-19 10:00	248320	----a-w-	c:\windows\system32\DartCertificate.dll
2013-02-22 15:03 . 2013-02-22 15:03	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\Sun
2013-02-20 17:10 . 2013-02-20 17:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2013-02-20 16:56 . 2013-02-20 16:55	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-02-20 16:25 . 2013-02-20 16:52	--------	d-----w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Skype
2013-02-20 16:25 . 2013-02-20 16:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2013-02-20 16:25 . 2013-02-20 16:25	--------	d-----r-	c:\programme\Skype
2013-02-20 16:24 . 2013-02-20 16:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2013-02-15 22:31 . 2013-02-15 22:31	186432	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-12 21:04 . 2012-04-11 10:10	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-12 21:04 . 2011-06-14 07:18	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-20 16:55 . 2012-10-22 04:59	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-02-20 16:55 . 2011-04-17 09:26	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-20 16:55 . 2011-04-17 09:26	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-02-12 00:32 . 2008-04-13 18:56	12928	------w-	c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2004-08-04 12:00	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-02-05 05:53 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2013-01-26 03:55 . 2004-08-04 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2004-08-04 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2004-08-04 00:50	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2004-08-04 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2004-08-04 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2004-08-04 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-16 12:23 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2013-03-08 08:01 . 2013-03-08 08:01	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2013-02-08 1521800]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{9E571C81-21E7-496B-9E6B-127E60263022}]
2012-01-12 10:23	269312	----a-w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\WOT\IE\WOT.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ7M\ICQ.exe" [2012-10-07 127040]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968]
"NUSB3MON"="c:\programme\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-04-27 113288]
"Six Engine"="c:\programme\ASUS\EPU\EPU.exe" [2010-06-14 5309056]
"StatusClient"="c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"KeePass 2 PreLoad"="c:\programme\KeePass Password Safe 2\KeePass.exe" [2013-02-03 1937920]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2011-08-10 1313640]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2013-02-08 1644680]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-01-23 385248]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Ralf\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2013-1-20 28539272]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
NETGEAR WG311v2 Smart Configuration.lnk - c:\programme\NETGEAR WG311v2 Adapter\wlancfg5.exe [N/A]
VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2011-8-25 6144]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\wLite\\wLite.exe"=
"c:\\Programme\\wLite\\wService.exe"=
"c:\\Programme\\andLinux\\pulseaudio\\pulseaudio.exe"=
"c:\\Programme\\andLinux\\Xming\\Xming.exe"=
"c:\\Programme\\IBM\\SPSS\\Statistics\\19\\JRE\\bin\\javaw.exe"=
"c:\\Programme\\IBM\\SPSS\\Statistics\\19\\stats.exe"=
"c:\\Programme\\IBM\\SPSS\\Statistics\\19\\stats.com"=
"c:\\Programme\\IBM\\SPSS\\Statistics\\19\\WinWrapIDE.exe"=
"c:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"c:\\Dokumente und Einstellungen\\Ralf\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\ICQ7M\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [15.03.2013 12:45 36552]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.03.2013 12:45 86752]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [15.03.2013 12:45 565472]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [16.10.2009 09:42 319488]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [15.03.2013 08:41 398184]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [15.03.2013 08:41 21104]
R3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [27.04.2010 08:27 64904]
R3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [27.04.2010 08:28 146568]
R3 RandWDM;NIH;c:\windows\system32\drivers\RandWDM.sys [01.08.2005 10:25 36992]
R4 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdriverx.sys --> c:\windows\system32\DRIVERS\avgidsdriverx.sys [?]
R4 AVGIDSHX;AVGIDSHX;c:\windows\system32\DRIVERS\avgidshx.sys --> c:\windows\system32\DRIVERS\avgidshx.sys [?]
R4 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\avgidsshimx.sys --> c:\windows\system32\DRIVERS\avgidsshimx.sys [?]
R4 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys --> c:\windows\system32\DRIVERS\avgrkx86.sys [?]
R4 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys --> c:\windows\system32\DRIVERS\avgtdix.sys [?]
S2 DirMngr;DirMngr;c:\programme\GNU\GnuPG\dirmngr.exe [02.03.2011 16:20 224256]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [15.03.2013 08:41 682344]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [07.02.2013 13:10 161384]
S2 WOTUpdater;WOT Updater;c:\dokumente und einstellungen\Ralf\Anwendungsdaten\WOT\IE\WOTUpdater.exe [12.01.2012 11:23 18432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [15.04.2011 15:25 1691480]
S3 cdas16;CDAS16;c:\windows\system32\drivers\cdas16.sys [01.08.2005 10:25 41984]
S3 dio24;DIO24;c:\windows\system32\drivers\dio24.sys [01.08.2005 10:25 40448]
S3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys [13.03.2013 19:45 35144]
S3 tap0801co;TAP-Win32 Adapter V8 (coLinux);c:\windows\system32\drivers\tap0801co.sys [01.06.2011 14:07 25856]
S3 wxpSvc;webcamXP Service;c:\programme\wLite\wService.exe [02.05.2010 22:34 5027328]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - ANTIVIRSCHEDULERSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - ANTIVIRWEBSERVICE
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB
*Deregistered* - Avgldx86
*Deregistered* - Avglogx
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 21:04]
.
2013-03-15 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2013-02-08 14:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE
uInternet Settings,ProxyOverride = <local>
IE: &Citavi Picker... - file://c:\dokumente und einstellungen\All Users\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Internet Explorer\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - c:\programme\ICQ7M\ICQ.exe
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.1.1 193.189.244.202 193.189.244.194
FF - ProfilePath - c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 4001
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 4001
FF - prefs.js: network.proxy.socks_port - 4001
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 4001
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2013-03-15 12:46; toolbar@ask.com; c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\extensions\toolbar@ask.com
FF - ExtSQL: !HIDDEN! 2012-04-04 17:17; mail@shopping-preise.de; c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\lb92hmls.Standard-Benutzer\extensions\mail@shopping-preise.de
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Gpu Boost Driver - c:\program files\ASUS\GPU Boost Driver\GpuBoostServer.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
AddRemove-GPL Ghostscript Lite_is1 - c:\programme\Bullzip\PDF Printer\gs\unins001.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-15 13:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wxpSvc]
"ImagePath"="c:\programme\wLite\wService.exe /startedbyscm:5053B757-40E35B3B-webcamSRV"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1976)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2013-03-15  13:09:16
ComboFix-quarantined-files.txt  2013-03-15 12:09
.
Vor Suchlauf: 13 Verzeichnis(se), 851.239.378.944 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 851.847.704.576 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 60768DE0E02C7AC58FEDF34DA568620E
         

Alt 15.03.2013, 21:09   #11
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
:Files
c:\programme\Ask.com
c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\AskToolbar
[emptyjava]
[CLEARALLRESTOREPOINTS]
[emptytemp]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


danach:

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Mfg, t'john
Das TB unterstützen

Alt 17.03.2013, 13:04   #12
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Hier der Log von OTL:

Code:
ATTFilter
All processes killed
========== OTL ==========
========== FILES ==========
c:\programme\Ask.com\Updater folder moved successfully.
c:\programme\Ask.com\CallingIDSDK folder moved successfully.
c:\programme\Ask.com\assets\oobe folder moved successfully.
c:\programme\Ask.com\assets folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\pt folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\nl folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\it folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\fr folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\es folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\en folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale\de folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\locale folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\images folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE\css folder moved successfully.
c:\programme\Ask.com\AbineSDK\IE folder moved successfully.
c:\programme\Ask.com\AbineSDK\chrome\content\templates folder moved successfully.
c:\programme\Ask.com\AbineSDK\chrome\content\reports folder moved successfully.
c:\programme\Ask.com\AbineSDK\chrome\content\images folder moved successfully.
c:\programme\Ask.com\AbineSDK\chrome\content\css folder moved successfully.
c:\programme\Ask.com\AbineSDK\chrome\content folder moved successfully.
c:\programme\Ask.com\AbineSDK\chrome folder moved successfully.
c:\programme\Ask.com\AbineSDK folder moved successfully.
c:\programme\Ask.com folder moved successfully.
c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\AskToolbar\APNU folder moved successfully.
c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\AskToolbar folder moved successfully.
File\Folder [emptyjava] not found.
File\Folder [CLEARALLRESTOREPOINTS] not found.
File\Folder [emptytemp] not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 03172013_123923

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Alt 17.03.2013, 13:07   #13
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Bitte den Fix noch laufen lassen:

Code:
ATTFilter
:OTL
:Commands
[emptyjava]
[CLEARALLRESTOREPOINTS]
[emptytemp]
         
__________________
Mfg, t'john
Das TB unterstützen

Alt 17.03.2013, 14:04   #14
Ralf81
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Hier noch der log von Malware-Bytes Anti-Rootkit.

Code:
ATTFilter
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1021

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 8.0.6001.18702

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.214000 GHz
Memory total: 3488714752, free: 2510536704

------------ Kernel report ------------
     03/17/2013 13:06:35
------------ Loaded modules -----------
\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\DRIVERS\AmdPPM.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\nusb3xhc.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\imapi.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\ASACPI.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\netwg311.sys
\SystemRoot\system32\DRIVERS\Rtenicxp.sys
\SystemRoot\system32\DRIVERS\wmiacpi.sys
\SystemRoot\system32\DRIVERS\dne2000.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\System32\Drivers\RandWDM.sys
\SystemRoot\system32\DRIVERS\odysseyIM3.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\AtiHdmi.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\nusb3hub.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\drivers\AsIO.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\atiok3x2.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\??\C:\WINDOWS\system32\drivers\mbam.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\System32\Drivers\Fastfat.SYS
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\System32\Drivers\StarOpen.SYS
\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
\SystemRoot\system32\DRIVERS\srv.sys
\??\C:\WINDOWS\system32\vsdatant.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\drivers\kmixer.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk1\DR4
Upper Device Object: 0xffffffff8aa52ab8
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\0000008c\
Lower Device Object: 0xffffffff8aa82d78
Lower Device Driver Name: \Driver\USBSTOR\
Driver name found: USBSTOR
Initialization returned 0x0
Load Function returned 0x0
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff8aea7ab8
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP2T1L0-10\
Lower Device Object: 0xffffffff8aeabd98
Lower Device Driver Name: \Driver\atapi\
Driver name found: atapi
Initialization returned 0x0
Load Function returned 0x0
=======================================


---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1021

(c) Malwarebytes Corporation 2011-2012

OS version: 5.1.2600 Windows XP Service Pack 3 x86

Account is Administrative

Internet Explorer version: 8.0.6001.18702

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.214000 GHz
Memory total: 3488714752, free: 2525777920

------------ Kernel report ------------
     03/17/2013 13:12:10
------------ Loaded modules -----------
\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\DRIVERS\AmdPPM.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\nusb3xhc.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\imapi.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\ASACPI.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\netwg311.sys
\SystemRoot\system32\DRIVERS\Rtenicxp.sys
\SystemRoot\system32\DRIVERS\wmiacpi.sys
\SystemRoot\system32\DRIVERS\dne2000.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\System32\Drivers\RandWDM.sys
\SystemRoot\system32\DRIVERS\odysseyIM3.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\AtiHdmi.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\nusb3hub.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\drivers\AsIO.sys
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\atiok3x2.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\??\C:\WINDOWS\system32\drivers\mbam.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\System32\Drivers\Fastfat.SYS
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\System32\Drivers\StarOpen.SYS
\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
\SystemRoot\system32\DRIVERS\srv.sys
\??\C:\WINDOWS\system32\vsdatant.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\drivers\kmixer.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk1\DR4
Upper Device Object: 0xffffffff8aa52ab8
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\0000008c\
Lower Device Object: 0xffffffff8aa82d78
Lower Device Driver Name: \Driver\USBSTOR\
Device already Exists: 0xffffffff89701430
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff8aea7ab8
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP2T1L0-10\
Lower Device Object: 0xffffffff8aeabd98
Lower Device Driver Name: \Driver\atapi\
Device already Exists: 0xffffffff89bff980
Downloaded database version: v2013.03.17.06
Initializing...
Done!
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff8aea7ab8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8ae31980, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff8aea7ab8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8ae369e8, DeviceName: \Device\0000007b\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff8aeabd98, DeviceName: \Device\Ide\IdeDeviceP2T1L0-10\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0xffffffffe25af300, 0xffffffff8aea7ab8, 0xffffffff89507548
Lower DeviceData: 0xffffffffe2567350, 0xffffffff8aeabd98, 0xffffffff89bff980
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning directory: C:\WINDOWS\system32\drivers...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 1B921B92

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 63  Numsec = 1750985713
    Partition file system is NTFS
    Partition is bootable

    Partition 1 type is Extended with CSH (0x5)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1750986750  Numsec = 202536962

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 1000204886016 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-62-1953505168-1953525168)...
Physical Sector Size: 512
Drive: 1, DevicePointer: 0xffffffff8aa52ab8, DeviceName: \Device\Harddisk1\DR4\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8aa5de08, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff8aa52ab8, DeviceName: \Device\Harddisk1\DR4\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8aa82d78, DeviceName: \Device\0000008c\, DriverName: \Driver\USBSTOR\
------------ End ----------
Alternate DeviceName: \Device\Harddisk1\DR4\, DriverName: \Driver\Disk\
Upper DeviceData: 0xffffffffe2afd7c0, 0xffffffff8aa52ab8, 0xffffffff896854c8
Lower DeviceData: 0xffffffffe2bc5ab0, 0xffffffff8aa82d78, 0xffffffff89701430
Drive 1
Scanning MBR on drive 1...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 0

Partition information:

    Partition 0 type is Other (0x6)
    Partition is ACTIVE.
    Partition starts at LBA: 59  Numsec = 2047749
    Partition file system is FAT
    Partition is not bootable

    Partition 1 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 1048481280 bytes
Sector size: 512 bytes

Done!
Performing system, memory and registry scan...
Done!
Scan finished
         
Hier der log des neuen fix:

Code:
ATTFilter
All processes killed
========== OTL ==========
========== COMMANDS ==========
 
[EMPTYJAVA]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: Ralf
->Java cache emptied: 0 bytes
 
Total Java Files Cleaned = 0,00 mb
 
Restore point Set: OTL Restore Point
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Opera cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Ralf
->Temp folder emptied: 718929 bytes
->Temporary Internet Files folder emptied: 2229573 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 33276072 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 3372 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 35,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03172013_140527

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temp\~DF32A1.tmp moved successfully.
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temp\~DFDF77.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.Word\~WRS{2B97338F-C66E-410A-9FF1-D7F44CB0A18F}.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.Word\~WRS{86C44842-8101-4322-ABD5-EAAE3C62FDE4}.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.Word\~WRS{B9090D0F-1753-4AEF-A0D1-2781F84E339E}.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.Word\~WRS{D4387D4B-D7B1-4A68-A51A-E51D18A07C52}.tmp not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Geändert von Ralf81 (17.03.2013 um 14:12 Uhr)

Alt 17.03.2013, 20:36   #15
t'john
/// Helfer-Team
 
Ausversehen unbekannte Malware geöffnet - Standard

Ausversehen unbekannte Malware geöffnet



Bitte das richige Log posten, siehe Anleitung von MBAR


dann:



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu Ausversehen unbekannte Malware geöffnet
adware/adware.gen, beschädigt, deaktiviert, eingefangen, festplatte, firewall, hochfahren, kunde, langsam, lnk/url.b, malware, rechner, rückmeldung, tr/agent.106496, tr/agent.110592.28, tr/bublik.b.185, tr/gendal.66048.bf, tr/rogue.kd.895215, tr/spy.zbot.alj, tr/spy.zbot.jqaw, unbekannte, verbindung, verhindert, warnung, windows, Überweisung




Ähnliche Themen: Ausversehen unbekannte Malware geöffnet


  1. Anhang unbekannte Mahnmail geöffnet: Diverse Trojanerfunde seit 6.11.2014
    Log-Analyse und Auswertung - 17.11.2014 (13)
  2. Anhang in einer Email geöffnet, Zip-Datei ausversehen ausgeführt, jetzt deutliche Leistungseinbußen, Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.07.2014 (13)
  3. Unbekannte Dateien im Downloadordner und unbekannte Programme auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (11)
  4. Mir unbekannte Reste von Malware
    Log-Analyse und Auswertung - 17.09.2013 (11)
  5. Unbekannte ZIP-Datei geöffnet, aber nicht entpackt
    Plagegeister aller Art und deren Bekämpfung - 22.06.2013 (14)
  6. Trojaner Virenmeldung WIN32/Bublik.B, ich habe ausversehen die Mail mit einer ZIP-Datei geöffnet.
    Log-Analyse und Auswertung - 25.02.2013 (5)
  7. Unbekannte Malware - Spam Mails verschickt
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (13)
  8. Rechner neu aufgesetzt und schon infiziert (unbekannte Malware)
    Plagegeister aller Art und deren Bekämpfung - 28.11.2010 (17)
  9. unbekannte ip wird von malware bytes geblockt
    Plagegeister aller Art und deren Bekämpfung - 23.03.2010 (2)
  10. Google zeigt mir unbekannte seiten! rookit oder malware vermutet bitte um hilfe ;)
    Log-Analyse und Auswertung - 25.02.2010 (2)
  11. Unbekannte Mailserver-Malware spammt ungebremst
    Nachrichten - 07.01.2010 (0)
  12. Unbekannte Malware am PC aber kann nicht gefunden werden!
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  13. Unbekannte Malware? Läd sich per FTP in Webseiten
    Plagegeister aller Art und deren Bekämpfung - 17.06.2009 (1)
  14. Spywarebefund(S&D), unbekannte Verknüpfungen auf dem Desktop. Malware?
    Plagegeister aller Art und deren Bekämpfung - 12.04.2009 (5)
  15. Unbekannte Malware / Trojaner
    Log-Analyse und Auswertung - 08.11.2008 (10)
  16. Unbekannte Malware
    Log-Analyse und Auswertung - 11.06.2006 (5)

Zum Thema Ausversehen unbekannte Malware geöffnet - Ich habe gestern unten stehende Nachricht bekommen mit anhängender ausführbarer Datei. Habe ausversehen draufgeklickt. Es kam eine Meldung, dass die Datei nicht ausführbar sei, da sie beschädigt wäre. ANTIVIR hat - Ausversehen unbekannte Malware geöffnet...
Archiv
Du betrachtest: Ausversehen unbekannte Malware geöffnet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.