Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ukash/BKA - Virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 09.12.2011, 00:23   #1
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo,

vielen Dank erst einmal, dass es so Menschen wie Euch gibt.

Ich habe mir heute wohl einen Virus eingefangen. Auf jeden Fall bin ich im Internet gewesen und habe mir dabei wohl (über Java ? - war leider aktiviert, browse normalerweise ohne Java) einen Virus (mahud.exe?) eingefangen.

Auf jeden Fall kam plötzlich eine Meldung mit BKA und irgendwelchen illegalen Internetinhalten, die ich angeblich angesurft habe und dass ich Geld zahlen soll (da ich im Augenblick im abgesicherten Modus mit Netzwerktreibern) arbeite, kann ich die Meldung nur so ungefähr aus dem Gedächtnis heraus zitieren. Da sich nicht einmal mehr der Taskmanager mit Ctrl+Alt+Del öffnen ließ habe ich den Computer erst einmal herunter gefahren und neu im abgesicherten Modus (ohne Netzwerktreiber) gestartet und AntiVir laufen lassen.

Von den 32 gefundenen infizierten Dateien (s. Dateianhang "avscan") habe ich 31 in Quarantäne geschoben (die Datei, die ich nicht in Quarantäne geschoben habe (idleback.exe) benutze ich schon Jahre lang ohne irgendwelche Probleme.). Ich hatte gehofft, dass das Problem nun behoben sei, und habe den Computer normal gestartet. Leider war dies aber nicht der Fall. Ich habe, da ich die Programme sowieso auf dem Computer hatte dann zur Sicherheit noch Spybot Search & Destroy (kein Fund) sowie Microworld eScan / Anti Virus & Spyware Utility (allerdings in einer älteren Version 11.0.48 - Log s. Dateianhang "MWAV") laufen lassen und bin dadurch darauf gekommen, dass das Problem wohl die Mahmud.exe ist, die ich allerdings mit diesem Programmversion nicht habe löschen können.

Auf Grund Eures Themas "ukash trojaner blockiert xp laptop" (http://www.trojaner-board.de/105914-...xp-laptop.html) habe ich noch srep.exe, dds.com und GMER laufen lassen. Die Anbei findet Ihr die entsprechenden Dateien


Auf Grund Eures Themas "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" (http://www.trojaner-board.de/69886-a...-beachten.html) habe ich defogger laufen lassen, wurde von defogger aber nicht zu einem Neustart aufgefordert. Ich dachte ich habe irgendetwas falsch gemacht und deshalb den re-enable Knopf und dann wieder den Disabel Knopf noch einmal angeklickt. Aber auch weiterhin kam keine Aufforderung zum Neustart. Den Neustart habe ich dann zur Sicherheit selber eingeleitet.




Anbei findet Ihr das Log von OTL.TXT:

OTL logfile created on: 08.12.2011 23:27:05 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,25 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 92,14% Memory free
7,07 Gb Paging File | 7,01 Gb Available in Paging File | 99,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 15,20 Gb Free Space | 51,86% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 18,89 Gb Free Space | 18,93% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive J: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS

Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\OTL.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe


========== Modules (No Company Name) ==========


========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate)
SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService)
SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)


========== Driver Services (SafeList) ==========

DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk)
DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86)
DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide)
DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins

[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions
[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}

O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft)
O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager
[2011.12.08 11:15:05 | 000,208,896 | ---- | C] (Packard Bell BV) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\mahmud.exe
[2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone
[2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer
[2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView
[2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET
[2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.12.08 23:24:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.08 23:01:12 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2011.12.08 16:05:48 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.12.08 11:15:05 | 000,208,896 | ---- | M] (Packard Bell BV) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\mahmud.exe
[2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.10 23:06:10 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk
[2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI
[2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat
[2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat
[2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat
[2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat
[2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp
[2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat
[2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat
[2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp
[2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp
[2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini
[2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat
[2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat
[2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll
[2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll
[2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

========== LOP Check ==========

[2009.04.22 13:56:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\ACD Systems
[2011.06.17 09:37:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Audacity
[2011.03.22 11:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Avery
[2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Canneverbe Limited
[2010.07.08 22:24:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\CheckPoint
[2011.01.01 19:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\DataDesign
[2011.03.22 14:43:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\EAC
[2011.12.05 14:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\foobar2000
[2011.01.01 18:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Lexware
[2009.04.05 11:34:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\OpenOffice.org
[2010.12.31 16:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Thunderbird
[2009.04.22 14:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.03.22 11:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery
[2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2009.04.05 06:23:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.03.24 15:32:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV
[2011.03.22 10:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CdCoverCreator
[2011.01.01 18:47:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2011.08.19 20:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2011.09.16 10:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlotSoft
[2009.04.22 15:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0
[2011.01.01 18:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money

========== Purity Check ==========



< End of report >





Das Log von Extras.Txt:

OTL Extras logfile created on: 08.12.2011 23:27:05 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,25 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 92,14% Memory free
7,07 Gb Paging File | 7,01 Gb Available in Paging File | 99,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 15,20 Gb Free Space | 51,86% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 18,89 Gb Free Space | 18,93% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive J: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS

Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\OwnPrg\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Pro 2.5.Browse] -- "C:\OwnPrg\ACDSee Pro\2.5\ACDSeeQVPro25.exe" "%1" (ACD Systems)
Directory [AddToPlaylistVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with FastStone] -- "C:\OwnPrg\FastStone Image Viewer\FSViewer.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe
"C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe:*:Enabled:StarMoney 7.0 OnlineUpdate -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe:*:Enabled:StarMoney 7.0 -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
"C:\OwnPrg\Skype\Plugin Manager\skypePM.exe" = C:\OwnPrg\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\Wertpapieranalyse 2011\wm60.exe" = C:\Programme\Wertpapieranalyse 2011\wm60.exe:*:Enabled:WPA2011 -- (World Money)
"C:\OwnPrg\Mozilla Firefox\firefox.exe" = C:\OwnPrg\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{048DDE77-66D5-4335-8497-903856759B58}" = BPDSoftware
"{04DB9640-A905-456C-96F5-F1EB80FEB5C9}" = ProductContext
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05DC79C6-4213-45D3-BE8A-50B8B7C1F0E1}" = bpd_scan_Carrier
"{060C339D-DD36-4d93-BCC7-0D68827936D8}" = Misc
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4600_series" = Canon iP4600 series Printer Driver
"{1458BB78-1DC5-4BC0-B9A3-2B644F5A8105}" = DeviceDiscovery
"{150B6201-E9E6-4DFB-960E-CCBD53FBDDED}" = HPProductAssistant
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23
"{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox
"{2D95950E-6D76-43E7-94A5-D9DBA2FD29E4}" = ACDSee Pro 2.5
"{2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3}" = HP Update
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{450008C6-3722-4214-AB4F-9E45B57CB422}" = DDBAC
"{461A4763-28B5-425A-AE3D-B9B54EDF0F21}" = CIB pdf brewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5B025634-7D5B-4B8D-BE2A-7943C1CF2D5D}" = Status
"{63B9224A-89C9-44E6-8252-5F2F73A71C54}" = StarMoney
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{879C52A2-FF9A-4CB5-BB74-B0DA994ABB2A}" = StarMoney
"{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs
"{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9294F169-72EE-4D74-AE92-CA25F64B4FF8}" = Fax
"{9615E45B-7670-4D17-9ED5-28B9E936EEDD}" = 7500_7600_7700_Help1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D6C64CC-EA60-47A6-9C97-82C38231EDAE}" = HP OfficeJet L7300/L7500/7600/7700
"{9DC1A9BA-070A-455F-8AC3-62587524ADFB}" = Quicken 2011 - ServicePack 4
"{A13D9E3A-B31D-4E69-8681-EDB7AA02E365}" = Quicken Import Export Server 2011
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A80FA752-C491-4ED9-ABF0-4278563160B2}" = 32 Bit HP CIO Components Installer
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"{BB3447F6-9553-4AA9-960E-0DB5310C5779}" = GPBaseService2
"{BC5DD87B-0143-4D14-AAE6-97109614DC6B}" = SolutionCenter
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4CC491B-5E85-4E96-8911-DF425893DF4A}" = L7500
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CA5560BD-88F0-4fee-8DF3-25D95CFD8941}" = UGuide
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CD31E63D-47FD-491C-8117-CF201D0AFAB5}" = TrayApp
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFCCB295-D487-468F-B595-6D97C515F53D}" = StarMoney 7.0 S-Edition
"{D1399216-81B2-457C-A0F7-73B9A2EF6902}" = PDFill PDF Editor with FREE Writer and FREE Tools
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{DB82F31B-D828-4aee-84F8-7F16CA7A1796}" = Toolbox
"{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung
"{ED23E382-E5E3-4E21-B616-01FC59A40916}" = OpenOffice.org 3.3
"{ED3D79A6-B3BB-4482-B226-0B620F97258A}" = BPDSoftware_Ini
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F625701A-E55C-47B4-8FC0-52B4FFE306BB}" = Wertpapieranalyse 2011
"{F6995FC4-2D91-4169-B3C4-7C51B7123902}" = Lexware online banking
"{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ASAPI Update" = ASAPI Update
"Ask Toolbar_is1" = ZoneAlarm Spy Blocker Toolbar
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CdCoverCreator" = CdCoverCreator 2.5.3
"Exact Audio Copy" = Exact Audio Copy 1.0beta3
"FastStone Image Viewer" = FastStone Image Viewer 4.6
"FLAC" = FLAC 1.2.1b (remove only)
"foobar2000" = foobar2000 v1.1.10
"GPL Ghostscript 9.04" = GPL Ghostscript
"HDD Health_is1" = HDD Health v3.3 Beta
"HP Imaging Device Functions" = HP Imaging Device Functions 14.0
"HP Officejet Pro K550 Series" = HP Officejet Pro K550 Series
"HP Solution Center & Imaging Support Tools" = HP Solution Center 14.0
"HPOCR" = OCR Software by I.R.I.S. 14.0
"Idlebackup_is1" = Idlebackup 1.18c
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"IrfanView" = IrfanView (remove only)
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 7.0.1 (x86 en-US)" = Mozilla Firefox 7.0.1 (x86 en-US)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Polipo" = Polipo 1.0.4.1
"Tor" = Tor 0.2.2.32
"Unlocker" = Unlocker 1.9.1
"Vidalia" = Vidalia 0.2.14
"VLC media player" = VLC media player 1.1.11
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR 4.01 (32-bit)
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2003Setup" = Microsoft Works 2003-Setup-Start
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 8.0 (x86 en-US)" = Mozilla Firefox 8.0 (x86 en-US)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 05.11.2011 12:05:06 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 05.11.2011 12:52:47 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 10.11.2011 09:26:49 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 15.11.2011 17:22:31 | Computer Name = E3300D | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application starmoney.exe, version 2.0.8.23, stamp 4e7b2f86,
faulting module unknown, version 0.0.0.0, stamp 00000000, debug? 0, fault address
0x00000000.

Error - 17.11.2011 08:06:05 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.1.11.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.11.2011 07:59:45 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung hpqkygrp.exe, Version 140.0.167.0, fehlgeschlagenes
Modul hpqtsshctui.dll, Version 140.0.167.0, Fehleradresse 0x00011099.

Error - 19.11.2011 16:08:24 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vidalia.exe, Version 0.2.14.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 07.12.2011 18:12:31 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung 0.6283503009895707.exe, Version 0.0.0.0,
fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.

Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.

[ System Events ]
Error - 08.12.2011 18:26:11 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1059

Error - 08.12.2011 18:26:11 | Computer Name = E3300D | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avipbb avkmgr Fips Processor ssmdrv

Error - 08.12.2011 18:26:41 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:42 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:42 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:43 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:43 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:44 | Computer Name = E3300D | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden.

Error - 08.12.2011 18:26:44 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:45 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.


< End of report >



Das Log von Gmer:

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-08 21:09:45
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-5 rev.
Running: uqk9qcbv.exe; Driver: C:\DOKUME~1\AHStern\LOKALE~1\Temp\fwldapog.sys


---- System - GMER 1.0.15 ----

SSDT F7A63D36 ZwCreateKey
SSDT F7A63D2C ZwCreateThread
SSDT F7A63D3B ZwDeleteKey
SSDT F7A63D45 ZwDeleteValueKey
SSDT F7A63D4A ZwLoadKey
SSDT F7A63D18 ZwOpenProcess
SSDT F7A63D1D ZwOpenThread
SSDT F7A63D54 ZwReplaceKey
SSDT F7A63D4F ZwRestoreKey
SSDT F7A63D40 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text atapi.sys F7315852 1 Byte [CC] {INT 3 }
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF4C9A000, 0x1C5D58, 0xE8000020]
? C:\DOKUME~1\AHStern\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread System [4:680] 89FFD161
Thread System [4:688] 8945AC30

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior

---- EOF - GMER 1.0.15 ----



Shell.txt von von srep:

WIN_XP X86 Service Pack 3
Running from J:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
explorer.exe
srep.exe


HKLM\..\Run [ZoneAlarm Client] = "C:\OwnPrg\ZoneAlarm\zlclient.exe"
HKLM\..\Run [HP Software Update] = C:\OwnPrg\HP\HP Software Update\HPWuSchd2.exe
HKLM\..\Run [] =
HKLM\..\Run [avgnt] = "C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\..\Run [SpybotSD TeaTimer] = C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe
HKCU\..\Run [HDDHealth] = C:\OwnPrg\HDD Health\hddhealth.exe -wl
HKCU\..\Run [Idlebackup] = C:\OwnPrg\Idlebackup\IdleBackup.exe
HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Winlogon; Shell =
HKU\S-1-5-21-1004336348-1292428093-682003330-1007_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [SpybotSD TeaTimer] = C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [HDDHealth] = C:\OwnPrg\HDD Health\hddhealth.exe -wl
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [Idlebackup] = C:\OwnPrg\Idlebackup\IdleBackup.exe
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE

==== FINISH 08.12-20.27 ====





dds.txt von dds.com:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_23
Run by AHStern at 20:41:13 on 2011-12-08
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3326.2235 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled*
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\System32\svchost.exe -k eapsvcs
svchost.exe
C:\WINDOWS\System32\svchost.exe -k dot3svc
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\OwnPrg\ZoneAlarm\zlclient.exe
C:\OwnPrg\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\cisvc.exe
C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\WINDOWS\system32\svchost.exe -k HPService
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\OwnPrg\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\OwnPrg\HDD Health\hddhealth.exe
C:\OwnPrg\Idlebackup\IdleBackup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\OwnPrg\Avira\AntiVir Desktop\sched.exe
C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe
C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe
C:\OwnPrg\Avira\AntiVir Desktop\avshadow.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: AskBar BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\programme\askbardis\bar\bin\askBar.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\ownprg\spybot~1\SDHelper.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\ownprg\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\ownprg\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: ZoneAlarm Spy Blocker Toolbar: {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\programme\askbardis\bar\bin\askBar.dll
TB: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
{555d4d79-4bd2-4094-a395-cfc534424a05}
uRun: [SpybotSD TeaTimer] c:\ownprg\spybot - search & destroy\TeaTimer.exe
uRun: [HDDHealth] c:\ownprg\hdd health\hddhealth.exe -wl
uRun: [Idlebackup] c:\ownprg\idlebackup\IdleBackup.exe
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [ZoneAlarm Client] "c:\ownprg\zonealarm\zlclient.exe"
mRun: [HP Software Update] c:\ownprg\hp\hp software update\HPWuSchd2.exe
mRun: [<NO NAME>]
mRun: [avgnt] "c:\ownprg\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\ahstern\startm~1\progra~1\autost~1\idleba~1.lnk - c:\ownprg\idlebackup\IdleBackup.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\ownprg\spybot~1\SDHelper.dll
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2} : DhcpNameServer = 192.168.178.1
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath -
.
============= SERVICES / DRIVERS ===============
.
R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2009-3-22 183824]
R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [2009-3-29 10368]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2010-7-12 10240]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-18 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\ownprg\avira\antivir desktop\sched.exe [2011-10-18 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\ownprg\avira\antivir desktop\avguard.exe [2011-10-18 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-18 74640]
S2 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2009-4-4 532224]
S2 vsmon;TrueVector Internet Monitor;c:\windows\system32\zonelabs\vsmon.exe -service --> c:\windows\system32\zonelabs\vsmon.exe -service [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-4-4 1684736]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\system32\svchost.exe -k nosGetPlusHelper [2008-4-14 14336]
S4 ASKService;ASKService;c:\programme\askbardis\bar\bin\AskService.exe [2009-4-5 464264]
S4 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\ownprg\starmoney 7.0 s-edition\ouservice\StarMoneyOnlineUpdate.exe [2011-11-15 554160]
.
=============== Created Last 30 ================
.
2011-12-08 10:15:05 208896 ----a-w- c:\dokumente und einstellungen\ahstern\anwendungsdaten\mahmud.exe
2011-12-05 20:55:17 -------- d-----w- c:\dokumente und einstellungen\ahstern\anwendungsdaten\FastStone
2011-12-05 13:23:48 -------- d-----w- c:\dokumente und einstellungen\ahstern\lokale einstellungen\anwendungsdaten\Paint.NET
.
==================== Find3M ====================
.
2011-11-19 20:36:01 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-11 13:00:01 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-11 13:00:01 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2011-10-10 14:22:46 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-07 16:05:50 323624 ----a-w- c:\windows\system32\wiaaut.dll
2011-09-28 07:06:43 604160 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 15:47:40 227176 ----a-w- c:\windows\system32\ddBACCTM.cpl
2011-09-26 15:47:38 825192 ----a-w- c:\windows\system32\Ddbaccpl.cpl
2011-09-26 09:41:54 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41:54 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41:20 220160 ----a-w- c:\windows\system32\oleacc.dll
.
=================== ROOTKIT ====================
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600
.
CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
device: opened successfully
user: error reading MBR
.
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x894A81D1]<<
_asm { PUSH 0x8a007694; PUSH 0x0; PUSH 0x894c9a50; PUSH EAX; PUSH 0x8a004990; RET ; ADD [EAX+EAX], AL; ADC ECX, [EDX]; INC ESI; }
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A6B8AB8]
3 CLASSPNP[0xF74E7FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000065[0x8A6F9678]
5 ACPI[0xF735D620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP1T0L0-5[0x8A734218]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
user != kernel MBR !!!
.
============= FINISH: 20:41:25,26 ===============








attach.txt von dds.com:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 02.04.2009 21:08:24
System Uptime: 08.12.2011 20:27:41 (0 hours ago)
.
Motherboard: MEDIONPC | | MS-7501
Processor: AMD Athlon(tm) 7750 Dual-Core Processor | CPU 1 | 2694/200mhz
.
==== Disk Partitions =========================
.
A: is Removable
C: is FIXED (NTFS) - 29 GiB total, 15,203 GiB free.
E: is FIXED (NTFS) - 426 GiB total, 97,127 GiB free.
F: is FIXED (NTFS) - 29 GiB total, 2,628 GiB free.
G: is FIXED (FAT32) - 15 GiB total, 4,558 GiB free.
H: is CDROM ()
J: is Removable
K: is Removable
M: is Removable
R: is FIXED (FAT32) - 0 GiB total, 0,499 GiB free.
Y: is FIXED (NTFS) - 98 GiB total, 16,647 GiB free.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP156: 06.12.2011 08:14:25 - Systemprüfpunkt
RP157: 08.12.2011 09:47:27 - Systemprüfpunkt
.
==== Installed Programs ======================
.
32 Bit HP CIO Components Installer
7500_7600_7700_Help1
ACDSee Pro 2.5
Adobe Download Manager
Adobe Flash Player 10 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.1)
ASAPI Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI AVIVO Codecs
ATI Display Driver
Audacity 1.2.6
Avira Free Antivirus
Bing Bar
bpd_scan_Carrier
BPDSoftware
BPDSoftware_Ini
BufferChm
Canon iP4600 series Printer Driver
CCleaner
CDBurnerXP
CdCoverCreator 2.5.3
CIB pdf brewer
DDBAC
DesignPro 5
Destinations
DeviceDiscovery
DocProc
Exact Audio Copy 1.0beta3
FastStone Image Viewer 4.6
Fax
FLAC 1.2.1b (remove only)
foobar2000 v1.1.10
GPBaseService2
GPL Ghostscript
HDD Health v3.3 Beta
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB2443685)
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB981793)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
HP Imaging Device Functions 14.0
HP OfficeJet L7300/L7500/7600/7700
HP Officejet Pro K550 Series
HP Product Detection
HP Solution Center 14.0
HP Update
HPProductAssistant
Idlebackup 1.18c
IrfanView (remove only)
Java Auto Updater
Java(TM) 6 Update 23
L7500
Lexware Info Service
Lexware online banking
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft Word 2002
Microsoft Works 2003-Setup-Start
Misc
Mozilla Firefox 7.0.1 (x86 en-US)
Mozilla Firefox 8.0 (x86 en-US)
Mozilla Thunderbird (7.0.1)
Mozilla Thunderbird (8.0)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Network
OCR Software by I.R.I.S. 14.0
OpenOffice.org 3.3
Paint.NET v3.5.10
PDFill PDF Editor with FREE Writer and FREE Tools
Polipo 1.0.4.1
ProductContext
Quicken 2011
Quicken 2011 - ServicePack 4
Quicken Import Export Server 2011
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Scan
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Servicepack Datumsaktualisierung
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2416400)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2482017)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2121546)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2259922)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2296199)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2436673)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2476687)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479628)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485376)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2503658)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2506223)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2511455)
Sicherheitsupdate für Windows XP (KB2524375)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2536276)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982665)
Skype Toolbars
Skype™ 5.3
SolutionCenter
Spybot - Search & Destroy
StarMoney
StarMoney 7.0 S-Edition
Status
Toolbox
Tor 0.2.2.32
TrayApp
UGuide
Unlocker 1.9.1
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows XP (KB2141007)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2607712)
Update für Windows XP (KB2616676)
Update für Windows XP (KB2641690)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
VC 9.0 Runtime
Vidalia 0.2.14
VLC media player 1.1.11
WebFldrs XP
WebReg
Wertpapieranalyse 2011
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR 4.01 (32-bit)
XML Paper Specification Shared Components Language Pack 1.0
XML Paper Specification Shared Components Pack 1.0
ZoneAlarm
ZoneAlarm Spy Blocker Toolbar
.
==== End Of File ===========================




Vielen Dank für Eure Hilfe. Gruß aus dem Norden,

HJS

Alt 09.12.2011, 16:52   #2
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Ich glaube, ich habe bei OTL vergessen, den Code für benutzerdefinierte Scans in das entsprechende Fenster bei OTL zu kopieren, bevor ich es habe laufen lassen. Deshalb liefere ich dies hiermit nach:

OTL.TXT:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 09.12.2011 16:41:58 - Run 2
OTL by OldTimer - Version 3.2.31.0     Folder = D:\AFComput\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,89 Gb Available Physical Memory | 88,85% Memory free
7,07 Gb Paging File | 6,91 Gb Available in Paging File | 97,74% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 14,46 Gb Free Space | 49,36% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 18,75 Gb Free Space | 18,79% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive L: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS
 
Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\OTL.exe
PRC - [2011.11.08 18:29:38 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\OwnPrg\Mozilla Firefox\firefox.exe
PRC - [2010.11.16 17:46:04 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\OwnPrg\ZoneAlarm\zlclient.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.12.05 14:20:02 | 000,076,800 | ---- | M] () -- D:\AAEigDat\OwnPrgData\Mozilla Firefox\extensions\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}\components\RadioWMPCoreGecko8.dll
MOD - [2011.11.08 18:29:37 | 001,989,592 | ---- | M] () -- C:\OwnPrg\Mozilla Firefox\mozjs.dll
MOD - [2011.05.28 21:04:56 | 000,140,288 | ---- | M] () -- C:\OwnPrg\WinRAR\RarExt.dll
MOD - [2010.07.04 22:32:38 | 000,010,752 | ---- | M] () -- C:\OwnPrg\Unlocker\UnlockerCOM.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate)
SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService)
SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk)
DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86)
DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide)
DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins
 
[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions
[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
 
O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft)
O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /HideWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "ATI Smart"
MsConfig - Services: "Ati HotKey Poller"
MsConfig - Services: "ASKService"
MsConfig - Services: "WMPNetworkSvc"
MsConfig - Services: "StarMoney 7.0 OnlineUpdate"
MsConfig - Services: "JavaQuickStarterService"
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^AHStern^Startmenü^Programme^Autostart^OpenOffice.org 3.3.lnk - C:\OwnPrg\OpenOffice.org 3\program\quickstart.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk - C:\OwnPrg\HP\Digital Imaging\bin\hpqtra08.exe - (Hewlett-Packard Co.)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\OwnPrg\Microsoft Office\Office10\OSA.EXE - (Microsoft Corporation)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Quicken 2011 Zahlungserinnerung.lnk - C:\OwnPrg\Lexware\Quicken2011\billmind.exe - (Haufe-Lexware GmbH & Co. KG)
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\OwnPrg\HP\HP Software Update\hpwuschd2.exe (Hewlett-Packard)
MsConfig - StartUpReg: HPWUTOOLBOX - hkey= - key= - C:\OwnPrg\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe (Hewlett-Packard Company)
MsConfig - StartUpReg: LexwareInfoService - hkey= - key= - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG)
MsConfig - StartUpReg: RTHDCPL - hkey= - key= - C:\WINDOWS\RTHDCPL.EXE (Realtek Semiconductor Corp.)
MsConfig - StartUpReg: Skype - hkey= - key= - C:\OwnPrg\Skype\Phone\Skype.exe (Skype Technologies S.A.)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - StartUpReg: UnlockerAssistant - hkey= - key= - C:\OwnPrg\Unlocker\UnlockerAssistant.exe ()
MsConfig - StartUpReg: UserFaultCheck - hkey= - key= -  File not found
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager
[2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone
[2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer
[2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView
[2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET
[2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.12.09 16:21:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.09 14:02:21 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.09 10:27:41 | 000,001,869 | ---- | M] () -- D:\AAEigDat\pinfect.zip
[2011.12.09 10:01:14 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.12.09 09:55:31 | 000,000,835 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk
[2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.10 23:06:10 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.12.09 10:27:41 | 000,001,869 | ---- | C] () -- D:\AAEigDat\pinfect.zip
[2011.12.09 09:55:31 | 000,000,835 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk
[2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk
[2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI
[2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat
[2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat
[2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat
[2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat
[2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp
[2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat
[2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat
[2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp
[2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp
[2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini
[2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat
[2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat
[2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll
[2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll
[2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2009.04.22 13:56:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\ACD Systems
[2011.06.17 09:37:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Audacity
[2011.03.22 11:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Avery
[2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Canneverbe Limited
[2010.07.08 22:24:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\CheckPoint
[2011.01.01 19:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\DataDesign
[2011.03.22 14:43:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\EAC
[2011.12.05 14:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\foobar2000
[2011.01.01 18:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Lexware
[2009.04.05 11:34:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\OpenOffice.org
[2010.12.31 16:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Thunderbird
[2009.04.22 14:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.03.22 11:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery
[2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2009.04.05 06:23:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.03.24 15:32:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV
[2011.03.22 10:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CdCoverCreator
[2011.01.01 18:47:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2011.08.19 20:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2011.09.16 10:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlotSoft
[2009.04.22 15:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0
[2011.01.01 18:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.12.05 14:24:08 | 000,000,000 | -H-D | M] -- C:\Config.Msi
[2009.04.10 08:27:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.12.05 21:55:01 | 000,000,000 | ---D | M] -- C:\OwnPrg
[2011.06.17 08:39:21 | 000,000,000 | R--D | M] -- C:\Programme
[2011.12.08 20:35:04 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.04.20 18:30:54 | 000,000,000 | ---D | M] -- C:\spoolerlogs
[2009.04.02 22:17:36 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.12.09 10:01:35 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: AFD.SYS  >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.04.13 23:49:24 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB951748$\afd.sys
[2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2008.08.14 11:34:26 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=4D43E74F2A1239D53929B82600F1971C -- C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys
[2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys
[2008.08.14 11:04:36 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7E775010EF291DA96AD17CA4B17137D7 -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2008.06.20 12:48:03 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=D6EE6014241D034E63C49A50CB2B442A -- C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys
[2008.06.20 12:40:08 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=E3049B90FE06F3F740B7CFDA44995E2C -- C:\WINDOWS\$NtUninstallKB956803$\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: IPSEC.SYS  >
[2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys
 
< MD5 for: REGEDIT.EXE  >
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.09.06 15:10:01 | 001,859,072 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-11 18:20:13

< End of report >
         
--- --- ---

Vielen Dank für die Unterstützung. Gruß
HJS
__________________


Alt 09.12.2011, 17:04   #3
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Oh ja, ich vergaß, die Extra.txt (oder Extras.txt?) hätte ich noch anhängen sollen. Aber da gab es keine neue Datei.

HJS
__________________

Alt 10.12.2011, 10:11   #4
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Was kann ich tun, damit mein Beitrag schneller beantwortet wird, habe ich irgendetwas Wichtiges vergessen?

Vielen Dank für Eure Unterstützung. Gruß
HJS

Alt 10.12.2011, 19:21   #5
Larusso
/// Selecta Jahrusso
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
  • Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 10.12.2011, 19:45   #6
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo Larusso / Daniel,

vielen Dank für deine Hilfe, ich heiße übrigens Holger.

Also ich habe die Datei heruntergeladen, im "Default-Ordner" installiert (allerdings auf English), aktualisiert und einen Quick-Scan durchgeführt. Interessanter Weise findet das Programm keinen Virus, ich vermute, dass dies auch dazu führt, dass ich mir keine Ergebnisse anzeigen lassen kann.



Anbei findest du das Log von mbam:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 8348

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.12.2011 19:35:56
mbam-log-2011-12-10 (19-35-56).txt

Scan type: Quick scan
Objects scanned: 190779
Time elapsed: 2 minute(s), 24 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Vielen Dank für deine tatkräftige Unterstützung. Gruß
Holger



(Im Übrigen: OS: WIN XP, SP3, alle Updates)

Alt 10.12.2011, 19:58   #7
Larusso
/// Selecta Jahrusso
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 10.12.2011, 20:21   #8
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo Daniel,

in meinem ursprünglichen Thema hatte ich übrigens die Logfiles von Avira und von MicroWorld eScan angekündigt, die hatte ich allerdings vergessen. Wenn du die noch brauchst, melden.

Im Übrigen hatte ich ursprünglich auch geschrieben, dass ich auf Grund des Bildschirms der ständig im Vordergrund war, nichts Anderes mehr machen konnte und den Computer deshalb runtergefahren habe. Dies stimmt so natürlich nicht ganz, ich konnte den Computer nur noch über den Schalter abwürgen.

Deine Anleitung, was ich machen soll ist eigentlich klar, nur was du mit "Skriptblocking und ähnliches" meinst, ist mir nicht klar.

Vielen Dank für deine Hilfe
Holger

Alt 10.12.2011, 20:38   #9
Larusso
/// Selecta Jahrusso
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Wenn du nicht weißt was das ist, dann brauchst du auch nichts deaktivieren.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 10.12.2011, 21:19   #10
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo Daniel,

ich hatte in meinem ursprünglichen Post geschrieben, dass Java in Firefox angeschaltet war. Ich war deshalb darauf gekommen, weil der Virenscan mit MicroWorld eScan viele Java-bezogene Probleme aufzeigte. Auch jetzt, mit dem ESET Online Scanner werden gerade wieder haufenweise Probleme in Bezug auf Java angezeigt.

Ich habe jetzt aber noch einmal in Firefox nachgesehen, da ist Java aber gar nicht aktiviert. Hat dieser Virus sich jetzt über Java heruntergeladen oder nicht? Wie kann ich zukünftig verhindern, dass so etwas wieder passiert?

Der Überprüfung mit ESET wird wohl noch ca. 2,5 Stunden dauern, wenn sie durch ist, werde ich die Log-Datei beifügen.

Gruß
Holger

Alt 11.12.2011, 00:05   #11
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo Daniel,

anbei die Daten aus log.txt von ESET:

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c950055e0f5b684da92985ccfd4dc158
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-10 10:51:25
# local_time=2011-12-10 11:51:25 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 4049 4049 0 0
# compatibility_mode=9217 16777214 75 62 28560725 33626499 0 0
# scanned=181011
# found=14
# cleaned=0
# scan_time=10228
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\2ac27740-3b1d5103 a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\4c4d1254-7027af59 a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temp\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temp\AVCBack\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1IAXTNTB\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1IAXTNTB\main[2] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AD0Z59H3\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AD0Z59H3\main[2] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F10UR5T0\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
D:\AFComput\Software\Tools, Windows\Unlocker 1.9.0\unlocker1.9.0.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
D:\AFComput\Software\Tools, Windows\Unlocker 1.9.1\Unlocker1.9.1.exe a variant of Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I
D:\RECYCLER\S-1-5-21-1004336348-1292428093-682003330-1007\Dd61\eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
Y:\HD_D\RECYCLER\S-1-5-21-1004336348-1292428093-682003330-1007\Dd61\eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I

Daniel, ich sehe, du bist noch online, ich gehe jetzt ins Bett und wünsche dir auch eine gute Nacht. Ich schaue morgen früh rein, ob du mir in der Zwischenzeit wieder "Hausaufgaben" geschickt hast. Vielen Dank für deine Hilfe und dein Durchhaltevermögen,
Holger

Alt 11.12.2011, 15:14   #12
Larusso
/// Selecta Jahrusso
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:commands
[emptytemp]
[emptyflash]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
    Kopiere nun den Inhalt hier in Deinen Thread



Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.



Bitte poste in deiner nächsten Antwort
OTL.txt
Extras.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 11.12.2011, 15:51   #13
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo Daniel,

vielen Dank für deine Antwort.

OTL hat nach dem Durchlauf nach Neustart gefragt. Ich habe den Computer dann wieder im abgesicherten Modus mit Netzwerktreibern gestartet. Falls ich ganz normal hätte starten sollen, bitte ansagen.

Allerdings habe ich auf dem Desktop die Datei <time_date>.txt nicht gefunden, auch nicht auf C:\_OTL\MovedFiles\<time_date>.txt. Ich habe OTL von Laufwerk D: aus gestartet und dort die Datei D:\_OTL\MovedFiles\12112011_152928.log gefunden.


Hier das Log von D:\_OTL\MovedFiles\12112011_152928.log:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 2192008431 bytes
->Temporary Internet Files folder emptied: 2497066 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 2546 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 600 bytes

User: AHStern
->Temp folder emptied: 830551869 bytes
->Temporary Internet Files folder emptied: 72866434 bytes
->Java cache emptied: 10001686 bytes
->Flash cache emptied: 49426 bytes

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 600 bytes

User: LocalService
->Temp folder emptied: 2128936 bytes
->Temporary Internet Files folder emptied: 492602 bytes

User: NetworkService
->Temp folder emptied: 2132536 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 30720 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 101548 bytes
RecycleBin emptied: 2097787930 bytes

Total Files Cleaned = 4.972,00 mb


[EMPTYFLASH]

User: Admin
->Flash cache emptied: 0 bytes

User: Administrator
->Flash cache emptied: 0 bytes

User: AHStern
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12112011_152928




Danach habe ich OTL.exe wie angefragt noch einmal gestartet, allerdings blitzte nur ganz kurz irgendein Fenster auf und war sofort weg, von OTL keine Spur (auch im Taskmanager nicht). Habe OTL noch einmal gestartet, nun scheint alles normal zu laufen.


Anbei von OTL die Extras.Txt:OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 11.12.2011 15:47:03 - Run 3
OTL by OldTimer - Version 3.2.31.0     Folder = D:\AFComput\Downloads\bo VIRUS
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,82 Gb Available Physical Memory | 86,91% Memory free
7,07 Gb Paging File | 6,87 Gb Available in Paging File | 97,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 17,48 Gb Free Space | 59,66% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 20,18 Gb Free Space | 20,22% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,31 Gb Free Space | 22,87% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive L: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,66 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS
 
Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Pro 2.5.Browse] -- "C:\OwnPrg\ACDSee Pro\2.5\ACDSeeQVPro25.exe" "%1" (ACD Systems)
Directory [AddToPlaylistVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with FastStone] -- "C:\OwnPrg\FastStone Image Viewer\FSViewer.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe
"C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe:*:Enabled:StarMoney 7.0 OnlineUpdate -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe:*:Enabled:StarMoney 7.0 -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
"C:\OwnPrg\Skype\Plugin Manager\skypePM.exe" = C:\OwnPrg\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\Wertpapieranalyse 2011\wm60.exe" = C:\Programme\Wertpapieranalyse 2011\wm60.exe:*:Enabled:WPA2011 -- (World Money)
"C:\OwnPrg\Mozilla Firefox\firefox.exe" = C:\OwnPrg\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{048DDE77-66D5-4335-8497-903856759B58}" = BPDSoftware
"{04DB9640-A905-456C-96F5-F1EB80FEB5C9}" = ProductContext
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05DC79C6-4213-45D3-BE8A-50B8B7C1F0E1}" = bpd_scan_Carrier
"{060C339D-DD36-4d93-BCC7-0D68827936D8}" = Misc
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4600_series" = Canon iP4600 series Printer Driver
"{1458BB78-1DC5-4BC0-B9A3-2B644F5A8105}" = DeviceDiscovery
"{150B6201-E9E6-4DFB-960E-CCBD53FBDDED}" = HPProductAssistant
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23
"{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox
"{2D95950E-6D76-43E7-94A5-D9DBA2FD29E4}" = ACDSee Pro 2.5
"{2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3}" = HP Update
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{450008C6-3722-4214-AB4F-9E45B57CB422}" = DDBAC
"{461A4763-28B5-425A-AE3D-B9B54EDF0F21}" = CIB pdf brewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5B025634-7D5B-4B8D-BE2A-7943C1CF2D5D}" = Status
"{63B9224A-89C9-44E6-8252-5F2F73A71C54}" = StarMoney
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{879C52A2-FF9A-4CB5-BB74-B0DA994ABB2A}" = StarMoney
"{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs
"{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9294F169-72EE-4D74-AE92-CA25F64B4FF8}" = Fax
"{9615E45B-7670-4D17-9ED5-28B9E936EEDD}" = 7500_7600_7700_Help1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D6C64CC-EA60-47A6-9C97-82C38231EDAE}" = HP OfficeJet L7300/L7500/7600/7700
"{9DC1A9BA-070A-455F-8AC3-62587524ADFB}" = Quicken 2011 - ServicePack 4
"{A13D9E3A-B31D-4E69-8681-EDB7AA02E365}" = Quicken Import Export Server 2011
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A80FA752-C491-4ED9-ABF0-4278563160B2}" = 32 Bit HP CIO Components Installer
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"{BB3447F6-9553-4AA9-960E-0DB5310C5779}" = GPBaseService2
"{BC5DD87B-0143-4D14-AAE6-97109614DC6B}" = SolutionCenter
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4CC491B-5E85-4E96-8911-DF425893DF4A}" = L7500
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CA5560BD-88F0-4fee-8DF3-25D95CFD8941}" = UGuide
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CD31E63D-47FD-491C-8117-CF201D0AFAB5}" = TrayApp
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFCCB295-D487-468F-B595-6D97C515F53D}" = StarMoney 7.0 S-Edition
"{D1399216-81B2-457C-A0F7-73B9A2EF6902}" = PDFill PDF Editor with FREE Writer and FREE Tools
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{DB82F31B-D828-4aee-84F8-7F16CA7A1796}" = Toolbox
"{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung
"{ED23E382-E5E3-4E21-B616-01FC59A40916}" = OpenOffice.org 3.3
"{ED3D79A6-B3BB-4482-B226-0B620F97258A}" = BPDSoftware_Ini
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F625701A-E55C-47B4-8FC0-52B4FFE306BB}" = Wertpapieranalyse 2011
"{F6995FC4-2D91-4169-B3C4-7C51B7123902}" = Lexware online banking
"{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ASAPI Update" = ASAPI Update
"Ask Toolbar_is1" = ZoneAlarm Spy Blocker Toolbar
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CdCoverCreator" = CdCoverCreator 2.5.3
"ESET Online Scanner" = ESET Online Scanner v3
"Exact Audio Copy" = Exact Audio Copy 1.0beta3
"FastStone Image Viewer" = FastStone Image Viewer 4.6
"FLAC" = FLAC 1.2.1b (remove only)
"foobar2000" = foobar2000 v1.1.10
"GPL Ghostscript 9.04" = GPL Ghostscript
"HDD Health_is1" = HDD Health v3.3 Beta
"HP Imaging Device Functions" = HP Imaging Device Functions 14.0
"HP Officejet Pro K550 Series" = HP Officejet Pro K550 Series
"HP Solution Center & Imaging Support Tools" = HP Solution Center 14.0
"HPOCR" = OCR Software by I.R.I.S. 14.0
"Idlebackup_is1" = Idlebackup 1.18c
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 7.0.1 (x86 en-US)" = Mozilla Firefox 7.0.1 (x86 en-US)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Polipo" = Polipo 1.0.4.1
"Tor" = Tor 0.2.2.32
"Unlocker" = Unlocker 1.9.1
"Vidalia" = Vidalia 0.2.14
"VLC media player" = VLC media player 1.1.11
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR 4.01 (32-bit)
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2003Setup" = Microsoft Works 2003-Setup-Start
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 8.0 (x86 en-US)" = Mozilla Firefox 8.0 (x86 en-US)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 05.11.2011 12:05:06 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.11.2011 12:52:47 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.11.2011 09:26:49 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.11.2011 17:22:31 | Computer Name = E3300D | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application starmoney.exe, version 2.0.8.23, stamp 4e7b2f86,
 faulting module unknown, version 0.0.0.0, stamp 00000000, debug? 0, fault address
 0x00000000.
 
Error - 17.11.2011 08:06:05 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.1.11.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 18.11.2011 07:59:45 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung hpqkygrp.exe, Version 140.0.167.0, fehlgeschlagenes
 Modul hpqtsshctui.dll, Version 140.0.167.0, Fehleradresse 0x00011099.
 
Error - 19.11.2011 16:08:24 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vidalia.exe, Version 0.2.14.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 07.12.2011 18:12:31 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung 0.6283503009895707.exe, Version 0.0.0.0,
 fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist 
beschädigt. Fahren Sie den  Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
 
Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
 werden aufgeräumt. Wiederherstellen des Indexes erfolgt  automatisch durch erneutes
 Filtern aller Dokumente.
 
[ System Events ]
Error - 11.12.2011 10:48:19 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
 Monitor.
 
Error - 11.12.2011 10:48:20 | Computer Name = E3300D | Source = Service Control Manager | ID = 7019
Description = Ringabhängigkeit: Der Dienst "vsdatant" ist von einem Dienst in einer
 Gruppe abhängig, der später gestartet wird.
 
Error - 11.12.2011 10:48:20 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1059
 
Error - 11.12.2011 10:48:20 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
 Monitor.
 
Error - 11.12.2011 10:48:21 | Computer Name = E3300D | Source = Service Control Manager | ID = 7019
Description = Ringabhängigkeit: Der Dienst "vsdatant" ist von einem Dienst in einer
 Gruppe abhängig, der später gestartet wird.
 
Error - 11.12.2011 10:48:21 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1059
 
Error - 11.12.2011 10:48:21 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
 Monitor.
 
Error - 11.12.2011 10:48:22 | Computer Name = E3300D | Source = Service Control Manager | ID = 7019
Description = Ringabhängigkeit: Der Dienst "vsdatant" ist von einem Dienst in einer
 Gruppe abhängig, der später gestartet wird.
 
Error - 11.12.2011 10:48:22 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1059
 
Error - 11.12.2011 10:48:22 | Computer Name = E3300D | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von TrueVector Internet
 Monitor.
 
 
< End of report >
         
--- --- ---




Von OTL die OTL.Txt:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 11.12.2011 15:47:03 - Run 3
OTL by OldTimer - Version 3.2.31.0     Folder = D:\AFComput\Downloads\bo VIRUS
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,82 Gb Available Physical Memory | 86,91% Memory free
7,07 Gb Paging File | 6,87 Gb Available in Paging File | 97,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 17,48 Gb Free Space | 59,66% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 20,18 Gb Free Space | 20,22% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,31 Gb Free Space | 22,87% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive L: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,66 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS
 
Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\bo VIRUS\OTL.exe
PRC - [2011.11.08 18:29:38 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\OwnPrg\Mozilla Firefox\firefox.exe
PRC - [2010.11.16 17:46:04 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\OwnPrg\ZoneAlarm\zlclient.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.12.05 14:20:02 | 000,076,800 | ---- | M] () -- D:\AAEigDat\OwnPrgData\Mozilla Firefox\extensions\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}\components\RadioWMPCoreGecko8.dll
MOD - [2011.11.19 21:36:01 | 008,527,008 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
MOD - [2011.11.08 18:29:37 | 001,989,592 | ---- | M] () -- C:\OwnPrg\Mozilla Firefox\mozjs.dll
MOD - [2011.05.28 21:04:56 | 000,140,288 | ---- | M] () -- C:\OwnPrg\WinRAR\RarExt.dll
MOD - [2010.07.04 22:32:38 | 000,010,752 | ---- | M] () -- C:\OwnPrg\Unlocker\UnlockerCOM.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate)
SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService)
SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk)
DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86)
DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide)
DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins
 
[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions
[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
 
O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft)
O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.12.10 20:53:30 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.12.10 19:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Malwarebytes
[2011.12.10 19:31:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.12.10 19:31:36 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.12.10 19:31:36 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2011.12.09 10:01:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager
[2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone
[2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer
[2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView
[2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET
[2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans
 
========== Files - Modified Within 30 Days ==========
 
[2011.12.11 15:31:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.11 10:46:46 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.10 19:31:39 | 000,000,773 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.12.09 10:27:41 | 000,001,869 | ---- | M] () -- D:\AAEigDat\pinfect.zip
[2011.12.09 10:01:14 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.12.09 09:55:31 | 000,000,835 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk
[2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.19 21:36:01 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
 
========== Files Created - No Company Name ==========
 
[2011.12.10 19:31:39 | 000,000,773 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.12.09 10:27:41 | 000,001,869 | ---- | C] () -- D:\AAEigDat\pinfect.zip
[2011.12.09 09:55:31 | 000,000,835 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Desktop\MWAVSCAN.lnk
[2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk
[2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI
[2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat
[2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat
[2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat
[2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat
[2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp
[2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat
[2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat
[2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp
[2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp
[2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini
[2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat
[2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat
[2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll
[2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll
[2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

< End of report >
         
--- --- ---


Ich sehe gerade in den Log-files, dass ich für die Erstellung von Extras.Txt und OTL.Txt ZoneAlarm noch angeschaltet hatte. Hätte ich für diesen Lauf von OTL auch alle anderen Programme (ZoneAlarm, Firefox) beenden müssen?

Vielen Dank für deine Hilfe, ich wünsche dir einen schönen 3. Advent, Gruß aus Hamburg
Holger

Geändert von HJS (11.12.2011 um 16:01 Uhr)

Alt 11.12.2011, 17:01   #14
Larusso
/// Selecta Jahrusso
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Deinstalliere ZoneAlarm !!!

Warum arbeitest du im Abgesicherten Modus ? Steht irgendwo was von abgesicherten Modus ?

D:\AFComput\Downloads\bo VIRUS
Warum liest du meine Anleitungen nicht, OTL soll am Desktop gespeichert werden, nicht in der Botanik -.-
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 11.12.2011, 17:16   #15
HJS
 
ukash/BKA - Virus - Standard

ukash/BKA - Virus



Hallo Daniel,

ich arbeite im abgesicherten Modus, weil ich seit dem Virus im normalen Modus gar nichts machen konnte, nicht einmal der Task-Manager ließ sich in den Vordergrund bringen, es war immer dieser ukash/BKA Bildschirm im Vordergrund. Ausschalten über CTRL+Alt+Del ging auch nicht mehr, nur noch "Abwürgen" über den Ausschaltknopf am Computer.

Anscheinend soll ich jetzt schon wieder im normalen Modus arbeiten. Das wusste ich nicht. Ich hab es überprüft, ich kann auch im normalen Modus arbeiten. Dennoch funktioniert Firefox etwas komisch, so bin ich zum Beispiel um diese Nachricht zu posten beim Anmelden, nachdem ich Benutzernamen und Passwort eingegeben habe, über die Seite find-girlfriend-.... zu ebay geleitet worden (alles im gleichen Browserfenster) und war gar nicht mehr im Trojanerboard.

Soll ich irgendwelche Programme jetzt im normalen Modus noch einmal laufen lassen und die Logs hier reinstellen?

Ich hoffe du hast noch ein bisschen Geduld mit mir, Gruß
Holger

Antwort

Themen zu ukash/BKA - Virus
0x00000001, 32 bit, 32-bit, antivir, avira, bho, blockiert, browser, bundeskriminalamt, cdburnerxp, classpnp.sys, computer, dateianhang, dds.com, desktop, error, firefox, flash player, geld, geld zahlen, hal.dll, helper, home, homepage, iexplore.exe, kein fund, logfile, mahmud.exe, mozilla thunderbird, neustart., officejet, packard bell, plug-in, realtek, safer networking, sched.exe, security, server, software, spyware, srep.exe, starmoney, starten, taskmanager, trojaner, ukash, ukash trojaner, virus, windows internet



Ähnliche Themen: ukash/BKA - Virus


  1. BKA/UKASH Virus
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (8)
  2. Ukash Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  3. Ukash - Virus
    Plagegeister aller Art und deren Bekämpfung - 16.01.2013 (15)
  4. Ukash-Virus
    Log-Analyse und Auswertung - 11.01.2013 (7)
  5. Ukash Virus
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (15)
  6. UKash Virus
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (2)
  7. BKA/Ukash Virus
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (28)
  8. Ukash Virus?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (23)
  9. Ukash Virus
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (3)
  10. Virus blockiert PC! Gema Bundestrojaner Virus - 50 euro Ukash?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (4)
  11. Ukash Virus wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (1)
  12. 50 € Ukash/Paysafe Virus :(
    Log-Analyse und Auswertung - 21.01.2012 (1)
  13. GEMA ukash virus
    Log-Analyse und Auswertung - 11.12.2011 (54)
  14. BKA Virus - Ukash 100€
    Log-Analyse und Auswertung - 24.11.2011 (22)
  15. Bundespolizei/ukash virus
    Log-Analyse und Auswertung - 05.06.2011 (1)
  16. BKA-Ukash-virus
    Log-Analyse und Auswertung - 21.05.2011 (83)
  17. BKA-Ukash Virus
    Mülltonne - 27.04.2011 (3)

Zum Thema ukash/BKA - Virus - Hallo, vielen Dank erst einmal, dass es so Menschen wie Euch gibt. Ich habe mir heute wohl einen Virus eingefangen. Auf jeden Fall bin ich im Internet gewesen und habe - ukash/BKA - Virus...
Archiv
Du betrachtest: ukash/BKA - Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.