Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Olmarik.TDL4 Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.01.2012, 20:01   #1
Holger72
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Guten Abend Virenjäger,

der Rechner meiner Internet-Senioren hat sich 2 Trojaner zu Weihnachten eingefangen. Sie waren natürlich als Admin im web, was soll ich dazu sagen?

Da ich mich um solche Probleme nur am Wochenende kümmern kann, hoffe ich trotzdem auf Hilfe.

Da in vielen Tread von den Helfern abgeraten wurde, die Beseitigung mit den Spezialprogrammen alleine zu kopieren, möchte ich meine Probleme hier schildern.
Der Virenscanner ESET Nod32 zeigt folgende Funde an, kann sie aber nicht beseitigen

Code:
ATTFilter
 
07.01.2012 18:37:51	Prüfung der Systemstartdateien	Datei	Arbeitsspeicher » svchost.exe(896)	Variante von Win32/Olmasco.O Trojaner	Säubern nicht möglich	PC-GIEBE\Admin	
07.01.2012 18:37:48	Prüfung der Systemstartdateien	Arbeitsspeicher	Arbeitsspeicher	Win32/Olmarik.TDL4 Trojaner	Säubern nicht möglich	PC-GIEBE\Admin	
07.01.2012 18:21:06	Prüfung der Systemstartdateien	Datei	Arbeitsspeicher » svchost.exe(1232)	Variante von Win32/Olmasco.O Trojaner	Säubern nicht möglich		
07.01.2012 18:21:03	Prüfung der Systemstartdateien	Arbeitsspeicher	Arbeitsspeicher	Win32/Olmarik.TDL4 Trojaner	Säubern nicht möglich		
07.01.2012 16:28:06	Prüfung der Systemstartdateien	Datei	Arbeitsspeicher » svchost.exe(1232)	Variante von Win32/Olmasco.O Trojaner	Säubern nicht möglich	PC-GIEBE\Admin	
07.01.2012 16:27:50	Prüfung der Systemstartdateien	Arbeitsspeicher	Arbeitsspeicher	Win32/Olmarik.TDL4 Trojaner	Säubern nicht möglich	PC-GIEBE\Admin	
07.01.2012 16:22:09	Prüfung der Systemstartdateien	Datei	Arbeitsspeicher » svchost.exe(1232)	Variante von Win32/Olmasco.O Trojaner	Säubern nicht möglich		
07.01.2012 16:22:04	Prüfung der Systemstartdateien	Arbeitsspeicher	Arbeitsspeicher	Win32/Olmarik.TDL4 Trojaner	Säubern nicht möglich
         

Ich habe schon wie in der Einleitung erläutert, die beschriebenen Programme laufen lassen. Zusätzlich habe ich Malwarebytes Anti-Malware scannen lassen.
MAM Log
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.03.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: PC-GIEBE [Administrator]

03.01.2012 17:56:53
mbam-log-2012-01-03 (17-56-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 312110
Laufzeit: 1 Stunde(n), 8 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         



OTL Log
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 07.01.2012 17:58:15 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,96 Mb Total Physical Memory | 382,70 Mb Available Physical Memory | 37,41% Memory free
2,40 Gb Paging File | 1,93 Gb Available in Paging File | 80,34% Paging File free
Paging file location(s): C:\pagefile.sys 1533 1600 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 32,24 Gb Free Space | 43,26% Space Free | Partition Type: NTFS
 
Computer Name: PC-GIEBE | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.01.07 17:52:50 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\desktop\OTL.exe
PRC - [2011.09.23 07:21:34 | 000,974,944 | ---- | M] (ESET) -- C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
PRC - [2011.09.23 07:21:26 | 003,080,264 | ---- | M] (ESET) -- C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
PRC - [2011.07.29 16:17:27 | 000,917,504 | ---- | M] (Digital Dynamic) -- C:\Programme\Digital Dynamic\Advanced Backup Manager\backupmanager.exe
PRC - [2011.06.15 17:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\BingBar\SeaPort.EXE
PRC - [2010.09.30 02:06:46 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 13:00:00 | 000,422,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntvdm.exe
PRC - [2007.06.05 12:20:32 | 000,177,704 | ---- | M] () -- C:\WINDOWS\system32\PSIService.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.09.05 18:04:58 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2007.06.05 12:20:32 | 000,177,704 | ---- | M] () -- C:\WINDOWS\system32\PSIService.exe
MOD - [2002.11.26 13:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - File not found [Auto | Stopped] --  -- (AcrSch2Svc)
SRV - [2011.09.23 07:21:34 | 000,974,944 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
SRV - [2011.07.29 16:17:27 | 000,147,456 | ---- | M] (Digital Dynamic) [Auto | Stopped] -- C:\WINDOWS\system32\virtualdisk.dll -- (vrtldsksvc)
SRV - [2011.07.07 19:31:08 | 000,195,336 | ---- | M] (Microsoft Corporation.) [On_Demand | Stopped] -- C:\Programme\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011.06.15 17:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate)
SRV - [2010.09.30 02:06:46 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor9.0)
SRV - [2008.08.20 06:08:30 | 000,070,336 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe -- (HRService)
SRV - [2007.06.05 12:20:32 | 000,177,704 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\PSIService.exe -- (ProtexisLicensing)
SRV - [2004.10.22 02:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.08.09 13:57:10 | 000,154,136 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2011.08.04 09:20:38 | 000,103,112 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2011.08.04 09:20:36 | 000,118,104 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2011.07.29 16:17:27 | 000,028,632 | ---- | M] (Olof Lagerkvist) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\virtualdisk.sys -- (vrtldskdrv)
DRV - [2009.06.25 13:49:19 | 000,368,480 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\tdrpman.sys -- (tdrpman)
DRV - [2003.11.17 20:39:38 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\STK017W2.sys -- (DCamUSBSTK017)
DRV - [2003.09.19 15:45:48 | 000,021,248 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll ()
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.01.03 19:20:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.31 11:11:54 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2011.12.30 15:07:38 | 000,000,000 | ---D | M]
 
[2010.01.15 22:11:40 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions
[2011.12.06 09:41:27 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions
[2010.04.27 19:52:29 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.12.06 09:41:22 | 000,000,000 | -H-D | M] (Softonic Deutsch Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}
[2011.12.03 10:30:12 | 000,000,000 | -H-D | M] (Softonic Deutsch FF Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c}
[2011.12.06 09:41:27 | 000,000,000 | -H-D | M] (MyAshampoo Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
[2011.05.19 10:45:59 | 000,000,000 | -H-D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\engine@conduit.com
[2010.08.20 19:26:00 | 000,000,000 | -H-D | M] (Fast Youtube Downloader) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\fastYoutubeDownloader@yevgenyandrov.net
[2010.08.20 19:26:03 | 000,000,000 | -H-D | M] (1-Click YouTube Video Downloader) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\YoutubeDownloader@PeterOlayev.com
[2010.01.15 22:11:15 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009.03.01 10:18:31 | 000,000,000 | ---D | M] (Long Titles) -- C:\PROGRAMME\HAUFE\IDESK\IDESKBROWSER\EXTENSIONS\{C24AECC7-7C95-507F-D71F-155CB86656DF}
[2012.01.03 19:20:31 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.04 11:15:10 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.04 11:15:10 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.04 11:15:10 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.04 11:15:10 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.04 11:15:10 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.04 11:15:10 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.01.03 15:40:46 | 000,440,047 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 15129 more lines...
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7018.1622\swg.dll (Google Inc.)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Programme\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.)
O4 - HKLM..\Run: [egui] C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil11c_Plugin.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{57407A19-AFA0-4A43-899D-EC7366D6332C}: NameServer = 217.237.149.205,217.237.151.51
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.12.05 09:01:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Desktop Sidebar.lnk -  - File not found
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE - (Microsoft Corporation)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^STK017 PNP Monitor.lnk - Reg Error: Value error. - File not found
MsConfig - StartUpReg: Acronis Scheduler2 Service - hkey= - key= - Reg Error: Value error. File not found
MsConfig - StartUpReg: AcronisTimounterMonitor - hkey= - key= - Reg Error: Value error. File not found
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AdobeAAMUpdater-1.0 - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: BrMfcWnd - hkey= - key= - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe ()
MsConfig - StartUpReg: CanonMyPrinter - hkey= - key= - C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
MsConfig - StartUpReg: ControlCenter3 - hkey= - key= - C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
MsConfig - StartUpReg: ctfmon.exe - hkey= - key= -  File not found
MsConfig - StartUpReg: HotKeysCmds - hkey= - key= -  File not found
MsConfig - StartUpReg: HVUhCjGEVN.exe - hkey= - key= - Reg Error: Value error. File not found
MsConfig - StartUpReg: IgfxTray - hkey= - key= -  File not found
MsConfig - StartUpReg: IndexSearch - hkey= - key= - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
MsConfig - StartUpReg: ISUSPM - hkey= - key= - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
MsConfig - StartUpReg: LexwareInfoService - hkey= - key= - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG)
MsConfig - StartUpReg: mmtask - hkey= - key= - Reg Error: Value error. File not found
MsConfig - StartUpReg: MMTray - hkey= - key= - Reg Error: Value error. File not found
MsConfig - StartUpReg: NeroCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: NvCplDaemon - hkey= - key= -  File not found
MsConfig - StartUpReg: NvMediaCenter - hkey= - key= -  File not found
MsConfig - StartUpReg: nwiz - hkey= - key= -  File not found
MsConfig - StartUpReg: PaperPort PTD - hkey= - key= - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
MsConfig - StartUpReg: Persistence - hkey= - key= -  File not found
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
MsConfig - StartUpReg: SpybotSD TeaTimer - hkey= - key= - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
MsConfig - StartUpReg: SSBkgdUpdate - hkey= - key= - C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
MsConfig - StartUpReg: SW20 - hkey= - key= -  File not found
MsConfig - StartUpReg: SW24 - hkey= - key= -  File not found
MsConfig - StartUpReg: swg - hkey= - key= - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
MsConfig - StartUpReg: TrueImageMonitor.exe - hkey= - key= - Reg Error: Value error. File not found
MsConfig - StartUpReg: WinSys2 - hkey= - key= - Reg Error: Value error. File not found
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.07 17:53:00 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2012.01.07 16:33:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent
[2012.01.07 16:17:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2012.01.03 19:33:49 | 000,000,000 | ---D | C] -- C:\Malwarebytes
[2012.01.03 18:13:46 | 001,578,288 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Admin\Desktop\tdsskiller.exe
[2012.01.03 17:55:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2012.01.03 17:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.01.03 17:55:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.01.03 17:55:10 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.01.03 17:55:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.01.03 17:34:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner
[2011.12.30 15:07:36 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.12.30 15:07:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ESET
[2011.12.30 12:32:45 | 000,014,664 | ---- | C] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys
[2011.12.30 12:31:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Virus
[2011.12.23 18:15:52 | 000,000,000 | ---D | C] -- C:\Programme\WindowsAIK
[2011.12.23 16:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\ESET
[2011.12.23 16:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ESET
[2011.12.23 10:01:53 | 000,000,000 | ---D | C] -- C:\Virenscanner
[2011.12.22 13:08:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SupportAppCB
[2011.12.22 08:11:54 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft
[2011.12.21 13:21:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET
[2011.12.21 11:29:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2011.12.17 16:30:26 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Spiele
[2011.12.17 16:26:32 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Löwenzahn
[2011.12.17 10:31:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
[2011.12.16 20:24:19 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.12.08 19:04:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\LOGO
[2011.12.08 19:00:29 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Admin\InstallAnywhere
[2011.12.08 19:00:16 | 000,000,000 | ---D | C] -- C:\tmp
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.07 17:54:49 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.01.07 17:52:50 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2012.01.07 16:22:38 | 000,063,804 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.01.07 16:15:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.01.04 18:07:56 | 000,001,086 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PEARL_PrintProfi_Etiketten..lnk
[2012.01.03 20:40:48 | 000,014,664 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys
[2012.01.03 19:18:54 | 001,578,288 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Admin\Desktop\tdsskiller.exe
[2012.01.03 17:34:18 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2012.01.03 15:40:46 | 000,440,047 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2012.01.03 13:59:01 | 000,000,966 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011.12.30 19:33:33 | 000,001,737 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ESET NOD32 Antivirus.lnk
[2011.12.30 19:29:36 | 000,000,861 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 2.lnk
[2011.12.30 19:28:20 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 4.lnk
[2011.12.30 15:49:04 | 000,492,404 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.12.30 15:49:04 | 000,472,894 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.12.30 15:49:04 | 000,090,794 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.12.30 15:49:04 | 000,075,988 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.12.23 17:08:29 | 000,092,672 | ---- | M] () -- C:\WINDOWS\System32\ddldr64.dll
[2011.12.23 17:08:25 | 000,368,640 | ---- | M] () -- C:\WINDOWS\System32\ddad.dll
[2011.12.23 16:26:09 | 000,077,824 | ---- | M] () -- C:\WINDOWS\System32\ddldr32.dll
[2011.12.23 16:26:08 | 000,002,477 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Microsoft Word.lnk
[2011.12.22 09:14:19 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.12.21 08:03:04 | 000,000,552 | ---- | M] () -- C:\WINDOWS\System32\d3d8caps.dat
[2011.12.18 10:43:03 | 000,219,248 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.12.17 19:36:27 | 000,001,313 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Explorer.lnk
[2011.12.17 16:58:34 | 000,000,897 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PhotoshopElements.lnk
[2011.12.17 16:44:42 | 000,000,890 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Backup Manager.lnk
[2011.12.17 11:02:24 | 000,011,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.01.04 18:07:56 | 000,001,086 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PEARL_PrintProfi_Etiketten..lnk
[2012.01.03 17:34:17 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2011.12.30 19:33:33 | 000,001,737 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ESET NOD32 Antivirus.lnk
[2011.12.30 19:29:36 | 000,000,861 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 2.lnk
[2011.12.30 19:28:20 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 4.lnk
[2011.12.22 13:10:19 | 000,000,625 | ---- | C] () -- C:\NetworkCfg.xml
[2011.12.21 08:03:04 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2011.12.17 16:58:34 | 000,000,897 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PhotoshopElements.lnk
[2011.12.17 16:44:42 | 000,000,890 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Backup Manager.lnk
[2011.12.17 11:23:09 | 000,000,966 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011.09.12 19:56:03 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\ddldr32.dll
[2011.08.05 19:07:20 | 000,092,672 | ---- | C] () -- C:\WINDOWS\System32\ddldr64.dll
[2011.08.05 19:07:17 | 000,368,640 | ---- | C] () -- C:\WINDOWS\System32\ddad.dll
[2011.08.05 19:07:14 | 017,716,224 | ---- | C] () -- C:\WINDOWS\System32\libcef.dll
[2010.07.26 20:37:14 | 000,000,848 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2010.05.12 21:06:28 | 000,001,359 | ---- | C] () -- C:\WINDOWS\goldwave.ini
[2010.05.12 21:06:02 | 000,006,367 | ---- | C] () -- C:\WINDOWS\Gwpreset.ini
[2010.01.15 22:11:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.11.15 15:22:35 | 000,000,143 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2009.11.09 09:21:09 | 000,032,140 | ---- | C] () -- C:\WINDOWS\System32\drivers\STK017W1.sys
[2009.09.06 14:48:50 | 000,000,273 | ---- | C] () -- C:\WINDOWS\madagascar.ini
[2009.08.25 17:05:11 | 000,000,054 | ---- | C] () -- C:\WINDOWS\uinst16.ini
[2009.08.25 17:04:59 | 000,047,184 | ---- | C] () -- C:\WINDOWS\UINST16.EXE
[2009.08.25 17:03:21 | 000,000,238 | ---- | C] () -- C:\WINDOWS\card.ini
[2009.08.25 17:03:21 | 000,000,206 | ---- | C] () -- C:\WINDOWS\visit.ini
[2009.08.25 17:03:21 | 000,000,206 | ---- | C] () -- C:\WINDOWS\label.ini
[2009.08.25 17:03:21 | 000,000,206 | ---- | C] () -- C:\WINDOWS\kuvert.ini
[2009.08.25 17:03:21 | 000,000,194 | ---- | C] () -- C:\WINDOWS\cd_label.ini
[2009.08.25 17:03:21 | 000,000,056 | ---- | C] () -- C:\WINDOWS\katalog.ini
[2009.08.25 17:03:21 | 000,000,022 | ---- | C] () -- C:\WINDOWS\browser.ini
[2009.03.21 09:56:41 | 000,027,948 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2009.02.15 08:44:23 | 000,000,169 | ---- | C] () -- C:\WINDOWS\MatheTiger.ini
[2009.01.26 19:08:07 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2009.01.16 18:38:21 | 000,045,056 | R--- | C] () -- C:\Programme\SetAttrib.exe
[2009.01.05 19:31:13 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.12.31 14:52:28 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.12.31 13:57:49 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008.12.31 13:57:49 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008.12.31 13:57:24 | 000,000,824 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2008.12.31 13:57:24 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2008.12.31 13:57:24 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf06a.dat
[2008.12.31 13:56:59 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2008.12.31 13:56:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2008.12.31 13:52:52 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2008.12.31 13:25:51 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.12.05 20:23:48 | 000,011,304 | R--- | C] () -- C:\WINDOWS\System32\RS_SQLIF.INI
[2008.12.05 20:23:48 | 000,000,030 | R--- | C] () -- C:\WINDOWS\System32\RS_RUN.INI
[2008.12.05 14:43:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini
[2008.12.05 14:41:04 | 000,131,072 | R--- | C] () -- C:\WINDOWS\System32\smdll.dll
[2008.12.05 14:41:01 | 000,262,144 | R--- | C] () -- C:\WINDOWS\System32\HookShield.dll
[2008.12.05 14:41:01 | 000,253,952 | R--- | C] () -- C:\WINDOWS\System32\HookMAp.dll
[2008.12.05 14:41:01 | 000,032,768 | R--- | C] () -- C:\WINDOWS\System32\Auxiliary.dll
[2008.12.05 14:41:00 | 000,208,896 | R--- | C] () -- C:\WINDOWS\System32\sw20.exe
[2008.12.05 14:41:00 | 000,200,704 | R--- | C] () -- C:\WINDOWS\System32\WinSys.exe
[2008.12.05 14:41:00 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\sw24.exe
[2008.12.05 14:41:00 | 000,009,728 | R--- | C] () -- C:\WINDOWS\System32\sysinfoX64.sys
[2008.12.05 14:41:00 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\sysinfo.sys
[2008.12.05 09:52:56 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll
[2008.12.05 09:03:14 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.12.05 08:57:46 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.12.05 08:47:08 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.12.05 08:45:34 | 000,219,248 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 13:00:00 | 000,492,404 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 13:00:00 | 000,472,894 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 13:00:00 | 000,090,794 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 13:00:00 | 000,075,988 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2007.06.05 12:20:32 | 000,177,704 | ---- | C] () -- C:\WINDOWS\System32\PSIService.exe
[2006.06.01 10:22:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.06.01 10:22:00 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2006.06.01 10:22:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.06.01 10:22:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006.06.01 10:22:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.06.01 10:22:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.06.01 10:22:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.06.01 10:22:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006.06.01 10:22:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2006.06.01 10:22:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.06.01 10:22:00 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2003.02.03 05:26:18 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2002.03.04 10:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[2001.11.19 15:48:10 | 000,202,752 | ---- | C] () -- C:\WINDOWS\System32\zlib.dll
[2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2009.06.25 13:54:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Acronis
[2009.08.19 09:17:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ahnenblatt
[2011.04.17 10:37:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Amazon
[2009.08.14 15:47:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ashampoo
[2011.12.17 16:41:53 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Audacity
[2011.04.22 08:01:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Autodesk
[2011.08.09 19:37:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
[2010.01.15 22:15:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Desktop Sidebar
[2011.05.14 18:37:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\elsterformular
[2011.12.23 16:34:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ESET
[2009.02.11 16:48:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GlarySoft
[2011.04.22 12:11:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\gtk-2.0
[2009.03.01 11:02:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Haufe
[2009.02.11 16:55:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Intenium
[2009.03.01 10:23:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lexware
[2009.06.14 09:57:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Musicmatch
[2010.03.14 17:10:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-FAX TX
[2012.01.04 18:05:16 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PriceGong
[2008.12.31 14:28:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ScanSoft
[2011.01.08 10:10:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue
[2010.11.13 11:50:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Waymyq
[2011.03.08 18:12:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Yqes
[2009.06.25 13:49:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2009.08.14 15:47:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
[2009.03.01 10:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
[2011.10.22 18:19:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.05.14 18:36:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2011.12.30 15:03:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2011.08.09 19:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2009.08.11 21:03:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FireGlow
[2009.03.01 10:17:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2010.06.25 17:53:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
[2010.01.26 10:34:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2011.08.09 19:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2008.12.31 13:52:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2010.06.25 17:53:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
[2010.08.14 20:56:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Terzio
[2010.07.26 13:38:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2011.12.17 10:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.12.16 20:24:19 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2009.08.15 16:52:04 | 000,000,000 | ---D | M] -- C:\775d69d9b49ae127151ff0832589669b
[2009.08.19 14:09:03 | 000,000,000 | ---D | M] -- C:\Brother
[2012.01.03 19:26:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2008.12.31 13:29:33 | 000,000,000 | ---D | M] -- C:\DSL-Router
[2009.08.15 08:16:59 | 000,000,000 | ---D | M] -- C:\e92f19587614b529879b
[2011.11.25 15:56:42 | 000,000,000 | ---D | M] -- C:\Holger
[2010.12.10 16:16:04 | 000,000,000 | ---D | M] -- C:\IA_Installers
[2012.01.05 20:42:25 | 000,000,000 | ---D | M] -- C:\IBMTOOLS
[2012.01.03 15:40:46 | 000,000,000 | ---D | M] -- C:\Installl
[2012.01.03 19:33:49 | 000,000,000 | ---D | M] -- C:\Malwarebytes
[2012.01.03 17:16:17 | 000,000,000 | ---D | M] -- C:\Meine Downloads
[2012.01.05 20:42:20 | 000,000,000 | R--D | M] -- C:\Programme
[2012.01.03 19:28:09 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.12.23 15:52:22 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2008.12.31 13:29:02 | 000,000,000 | ---D | M] -- C:\Technische Unterlagen
[2009.01.18 11:40:44 | 000,000,000 | ---D | M] -- C:\Terzio
[2012.01.03 15:42:56 | 000,000,000 | ---D | M] -- C:\tmp
[2011.12.05 10:21:53 | 000,000,000 | ---D | M] -- C:\unzipped
[2012.01.03 20:40:48 | 000,000,000 | ---D | M] -- C:\Virenscanner
[2012.01.07 17:58:45 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2012.01.07 17:40:40 | 000,000,000 | ---D | M] -- C:\WSKETCH2
 
< %PROGRAMFILES%\*.exe >
[2005.01.21 04:23:20 | 000,045,056 | R--- | M] () -- C:\Programme\SetAttrib.exe
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
 
 
< MD5 for: AFD.SYS  >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: IPSEC.SYS  >
[2008.04.14 13:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.14 13:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys
 
< MD5 for: REGEDIT.EXE  >
[2008.04.14 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.11.23 15:40:13 | 001,859,712 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-01-05 20:15:39

< End of report >
         
--- --- ---


EXTRA Log
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 07.01.2012 17:58:15 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,96 Mb Total Physical Memory | 382,70 Mb Available Physical Memory | 37,41% Memory free
2,40 Gb Paging File | 1,93 Gb Available in Paging File | 80,34% Paging File free
Paging file location(s): C:\pagefile.sys 1533 1600 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 32,24 Gb Free Space | 43,26% Space Free | Partition Type: NTFS
 
Computer Name: PC-GIEBE | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = htmlfile] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\Siemens\LOGOComfort_V7\jre\bin\javaw.exe" = C:\Programme\Siemens\LOGOComfort_V7\jre\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Professional
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{007F778D-F15C-4EAB-AE92-071D21FAF632}" = Adobe Photoshop Elements 9
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0FB261F3-6F16-43FD-A404-F377C169B937}" = Madagascar (TM)
"{15803703-25FA-4C01-A062-3F4A59937E87}" = Ulead PhotoImpact X3
"{16D0F2D2-242C-4885-BEF1-4B1655C141AE}" = Bing Bar
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 13
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38C9BDE0-59DB-4DE0-B4C9-AB2A6258108C}" = Löwenzahn 1
"{39AF5C9F-9673-438F-BBF9-47690B989F7F}" = QuickSteuer 2012
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D289CAC-AD9F-45d9-9D36-524EB7B6C958}" = Lenovo Hard Drive Quick Test
"{3D339202-76E6-4815-89D0-B59A8654B812}" = Loewenzahn 2
"{406A89D6-09E6-4550-B370-8D376DDB56BE}" = Adobe Flash Player 10 ActiveX
"{433EACD8-4747-4A6A-826A-FFA9F39B0D40}" = Elements 9 Organizer
"{49D41303-D839-40B5-9244-EED5C93C1EA0}" = Loewenzahn Lexikon
"{4CF29999-1BB0-42B2-99BB-3A34507F9E3B}" = Steuer Update 15.01
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{66E375C5-CF5E-4706-B23B-93B52DB754BB}" = AutoSketch Release 8
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71C97545-E547-4A8B-B0C8-61FF853270AC}" = PaperPort
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79E0927E-6347-495F-83C1-92B0AB252B07}" = Barbie(TM) in Die 12 tanzenden Prinzessinnen
"{7A92A322-1A10-4153-B551-D547AA9B4649}" = Sweeties
"{7CFC17CE-0A66-46B0-BA57-BF8AB674BF5C}" = Loewenzahn 6
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9CCF5C3-4E30-42E6-992F-3D257B01E292}" = Loewenzahn 3
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{AE9E39ED-A41A-40D4-B4CD-858A6E41D881}" = Loewenzahn 4
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BD32EF4C-B66F-41A8-92BB-C02EF9029310}" = ESET NOD32 Antivirus
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D5C8E140-6E6F-11DD-9AA9-0050560400B1}" = Haufe iDesk-Service
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DE470016-1C64-11D5-982A-0050DA602C65}" = Löwenzahn 5
"{DFE311BB-9AB2-4A27-A7A9-FA95F058BC80}" = Deep Silver
"{E2AE009D-37E5-4724-A6B8-0ED6A6BA4F68}" = Elements STI Installer
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E7B54F8B-FC06-4F01-AB11-CE37F1D93B81}" = PEARL PrintProfi Etiketten
"{EAB938C1-1193-465A-8E19-680654405477}" = STK017_V2.01
"{F04D6A72-92D3-44FB-9005-A89065245E33}" = Steuer Update 15.01
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0F563C4-D4AD-41C4-A8A6-26664C027D11}" = Brother MFL-Pro Suite
"{F302F4F0-588D-6501-1ACF-BE3FDCC9135D}" = Adobe Community Help
"{F3C2ECAA-1B4D-4B75-9105-106B0D03EF02}" = Lexware Info Service
"{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser
"{FDB3B167-F4FA-461D-976F-286304A57B2A}" = Adobe AIR
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 9" = Adobe Photoshop Elements 9
"Advanced Backup Manager" = Advanced Backup Manager
"AdventuresofSheepy" = AdventuresofSheepy (remove only)
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Ashampoo Magical Snap 2_is1" = Ashampoo Magical Snap 2.51
"Ashampoo Snap 4_is1" = Ashampoo Snap 4 v.4.3.0
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode)
"BlockTreepy_is1" = BlockTreepy
"CanonMyPrinter" = Canon My Printer
"CCleaner" = CCleaner
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"Diamantenfee 2" = Diamantenfee 2
"Diamantenfee Special" = Diamantenfee Special
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"ElsterFormular für Privatanwender 12.1.0.6164p" = ElsterFormular für Privatanwender
"FormatFactory" = FormatFactory 2.50
"Free Video Dub_is1" = Free Video Dub version 1.7
"Glary Utilities_is1" = Glary Utilities 2.20.0.831
"Google Updater" = Google Updater
"ie8" = Windows Internet Explorer 8
"InstallShield_{0FB261F3-6F16-43FD-A404-F377C169B937}" = Madagascar
"LOGO!Soft Comfort V1.0" = LOGO!Soft Comfort V1.0
"LOGO!Soft Comfort V3.1 Upgrade" = LOGO!Soft Comfort V3.1 Upgrade
"LOGO!Soft Comfort V4.0" = LOGO!Soft Comfort V4.0
"LOGO!Soft Comfort V5.0" = LOGO!Soft Comfort V5.0
"LOGO!Soft Comfort V7.0 " = LOGO!Soft Comfort V7.0 
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.0.1800
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de)
"MyAshampoo Toolbar" = MyAshampoo Toolbar
"NVIDIA Drivers" = NVIDIA Drivers
"PC-Kaufmann Handwerkspaket" = PC-Kaufmann Handwerkspaket
"Peggle Deluxe" = Peggle Deluxe
"Picasa 3" = Picasa 3
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"VLC media player" = VLC media player 0.9.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinZip" = WinZip
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 22.12.2011 03:10:10 | Computer Name = PC-GIEBE | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 22.12.2011 03:33:10 | Computer Name = PC-GIEBE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x0181c0c0.
 
Error - 22.12.2011 03:53:33 | Computer Name = PC-GIEBE | Source = MsiInstaller | ID = 11704
Description = Product: Bing Bar -- Error 1704. An installation for ESET NOD32 Antivirus
 is currently suspended.  You must undo the changes made by that installation to
 continue.  Do you want to undo those changes?
 
Error - 30.12.2011 10:07:23 | Computer Name = PC-GIEBE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 30.12.2011 10:07:37 | Computer Name = PC-GIEBE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten
 Vorgang nicht ausführen.  .
 
Error - 30.12.2011 14:18:56 | Computer Name = PC-GIEBE | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Tried to start a service that wasn't the latest version of CLR Optimization service.
 Will shutdown 
 
Error - 03.01.2012 12:18:30 | Computer Name = PC-GIEBE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x063c2060.
 
Error - 03.01.2012 12:20:22 | Computer Name = PC-GIEBE | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während 
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
 Wenden Sie sich an den Microsoft-Produktsuppor
 
Error - 03.01.2012 12:20:22 | Computer Name = PC-GIEBE | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x80040206.
 
Error - 03.01.2012 14:26:38 | Computer Name = PC-GIEBE | Source = Userenv | ID = 1505
Description = Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden
 mit dem standardmäßigen Profil für das System angemeldet.       Details - Das System 
kann die angegebene Datei nicht finden. 
 
[ System Events ]
Error - 05.01.2012 09:11:23 | Computer Name = PC-GIEBE | Source = Print | ID = 19
Description = Freigabe des Druckers fehlgeschlagen (+ 1722). Drucker Brother MFC-5500,
 Freigabename Drucker.
 
Error - 05.01.2012 09:11:51 | Computer Name = PC-GIEBE | Source = Service Control Manager | ID = 7034
Description = Dienst "Virtual Disk Service" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 05.01.2012 09:12:01 | Computer Name = PC-GIEBE | Source = DCOM | ID = 10010
Description = Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 05.01.2012 14:20:33 | Computer Name = PC-GIEBE | Source = Print | ID = 6161
Description = Das Dokument Doc, im Besitz von Admin, konnte nicht auf dem Drucker
 Brother MFC-5460CN Printer gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
 in Bytes: 31260672. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des
 Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\PC-GIEBE. Vom 
Druckprozessor zurückgelieferter Win32-Fehlercode: 2250 (0x8ca). 
 
Error - 05.01.2012 15:31:15 | Computer Name = PC-GIEBE | Source = Print | ID = 6161
Description = Das Dokument Doc, im Besitz von Admin, konnte nicht auf dem Drucker
 Canon iP3500 series gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
 in Bytes: 30998528. Anzahl der gedruckten Bytes: 30909464. Gesamtanzahl der Seiten
 des Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\PC-GIEBE. 
Vom Druckprozessor zurückgelieferter Win32-Fehlercode: 13 (0xd). 
 
Error - 05.01.2012 16:15:38 | Computer Name = PC-GIEBE | Source = NtServicePack | ID = 921877
Description = Die Windows XP KB2633171-Installation ist fehlgeschlagen. Ein interner
 Fehler ist aufgetreten.  
 
Error - 05.01.2012 16:15:39 | Computer Name = PC-GIEBE | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8007054f fehlgeschlagen: Sicherheitsupdate für Windows XP (KB2633171)
 
Error - 07.01.2012 11:15:59 | Computer Name = PC-GIEBE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Acronis Scheduler2 Service" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%3
 
Error - 07.01.2012 11:16:30 | Computer Name = PC-GIEBE | Source = Service Control Manager | ID = 7034
Description = Dienst "Virtual Disk Service" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 07.01.2012 11:16:51 | Computer Name = PC-GIEBE | Source = DCOM | ID = 10010
Description = Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
 
< End of report >
         
--- --- ---



defogger log
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:18 on 07/01/2012 (Admin)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Danach sind einige Verknüpfungen verschwunden!


Vielen Dank schon mal für die Hilfe
Holger

Geändert von Holger72 (07.01.2012 um 20:43 Uhr) Grund: Formatierung

Alt 09.01.2012, 11:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________

__________________

Alt 09.01.2012, 12:47   #3
Holger72
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Hallo Arne,
vielen Dank für Deine Hilfe!

Nein es gibt keine älteren Logs als im ersten Beitrag. Ich habe gerade per Telefon einen neuen vollständigen Scan veranlasst. Ich werde heute Abend die neue Logdatei einstellen, wenn sie hilfreich ist.
Früher habe ich immer das Programm Spybot S&D laufen lassen.

Gruss aus der Mittagspause
Holger
__________________

Alt 09.01.2012, 14:07   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.01.2012, 14:25   #5
Holger72
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Hallo Arne,

hier das MAM Log vollständiger Scan von heute:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org

 

Datenbank Version: v2012.01.09.04

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Admin :: PC-GIEBE [Administrator]

 

09.01.2012 12:27:13

mbam-log-2012-01-09 (12-27-13).txt

 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 322986

Laufzeit: 1 Stunde(n), 27 Minute(n), 7 Sekunde(n)

 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)

 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)

 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)

 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)

 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)

 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)

 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)

 

(Ende)
         
Den Virenscanner kann ich erst heute Abend laufen lassen.

Gruss
Holger


Alt 11.01.2012, 19:35   #6
Holger72
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Hallo Arne,

Code:
ATTFilter
AESETSmartInstaller@High as downloader log:

all ok

# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=156c4c6876a58a49b208155201c39d79
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-10 11:04:06
# local_time=2012-01-11 12:04:06 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8204 43351381 100 92 11187 13329971 0 0
# scanned=141253
# found=0
# cleaned=0
# scan_time=10386
# nod_component=V3 Build:0x30000000
         
da scheint mir was verkehrt gegangen zu sein?


Gruss
Holger

Alt 11.01.2012, 20:06   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.01.2012, 14:58   #8
Holger72
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Hallo Arne,

geht leider nicht mehr. Mein Herr Vater hat jemand von einer PC Firma aus dem Ort da gehabt.
Der hat wohl den MBR überschrieben, allerdings war danach die HDD nur noch im BIOS zu finden. Jetzt steht wohl die Entscheidung an Low Level Format oder neue HDD.



Von mir Danke für die Hilfe. Ich habe auf jeden Fall noch einiges dazu gelernt.

Holger

Alt 13.01.2012, 16:14   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Zitat:
Der hat wohl den MBR überschrieben, allerdings war danach die HDD nur noch im BIOS zu finden.
Was hat der denn für ein Quatsch gemacht
Bevor man radikal den MBR löscht muss man unbedingt alle Daten sichern bzw. auch den MBR!

Zitat:
Jetzt steht wohl die Entscheidung an Low Level Format oder neue HDD.
Schon wieder hör ich dieses LowLevelFormat (LLF). Das ist Unsinn. Eine Platte lässt sich schon lange nicht mehr LLF'en; das macht der Hersteller einmal und dann geht es nicht mehr vom normalen Anwender.
Falls du meinst: die Platte einmal komplett mit Nullen überschreiben, ja das geht, das ist aber KEIN LLF!

Und nur weil ein MBR und damit auch die Partitionstaballe vernichtet wurde, braucht man die Platte nicht komplett mit Nullen zu füllen. Es reicht ein neue Partitionierung und das Formatieren dieser neu erstellten Partitionen.

Mit etwas Glück lässt sich der MBR auch restaurieren, aber ich weiß nicht was der Firmen"Experte" da wie genau gemacht hat
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.01.2012, 13:45   #10
Holger72
 
Olmarik.TDL4 Trojaner - Standard

Olmarik.TDL4 Trojaner



Zitat:
Zitat von cosinus Beitrag anzeigen
Mit etwas Glück lässt sich der MBR auch restaurieren, aber ich weiß nicht was der Firmen"Experte" da wie genau gemacht hat
Hallo Arne,
ja so ist das wenn die Eltern nicht auch mal auf die Kinder hören können.
Was der "Experte" gemacht weis ich auch nicht so genau, da ich nicht dabei war. Auf jeden Fall ist das Thema für mich damit durch. Ab zur Maschine!

Gruss
Holger

Antwort

Themen zu Olmarik.TDL4 Trojaner
0x00000001, adobe, antivirus, aufrufe, beseitigung, bho, bingbar, conduit, dateisystem, downloader, error, eset nod32, firefox, format, google earth, helper, heuristiks/extra, heuristiks/shuriken, home, homepage, iexplore.exe, installation, kaspersky, lenovo, logfile, mozilla thunderbird, msiinstaller, object, plug-in, registry, required, rundll, safer networking, scan, security, services.exe, softonic, software, svchost.exe, trojane, trojaner, udp, unerwarteter fehler, version=1.0, win32/olmasco.o, win32k.sys, windows internet, youtube downloader



Ähnliche Themen: Olmarik.TDL4 Trojaner


  1. trojana olmarik auf dem notebook
    Plagegeister aller Art und deren Bekämpfung - 29.10.2011 (28)
  2. Olmarik Trojaner, Windows 7, 64 Bit
    Plagegeister aller Art und deren Bekämpfung - 19.10.2011 (1)
  3. win32/olmarik.ajl - combofix.log
    Log-Analyse und Auswertung - 17.05.2011 (1)
  4. Olmarik MBR Trojaner kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  5. Disk \Device\Harddisk0\DR0 TDL4@MBR code has been found - was ist zu tun?
    Log-Analyse und Auswertung - 14.04.2011 (24)
  6. Win32/Olmarik.ajl Trojaner im Mbr!
    Log-Analyse und Auswertung - 12.04.2011 (17)
  7. Win 32 / Olmarik Trojaner Rootkit
    Plagegeister aller Art und deren Bekämpfung - 11.04.2011 (16)
  8. ESET findet Win32/Olmarik Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (3)
  9. Win32/Olmarik Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.01.2011 (8)
  10. Win32/Olmarik.ADA Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (4)
  11. Win32 Olmarik Trojaner mit Malwarebytes und OTL erfolglos
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (7)
  12. Win32/Olmarik Trojaner, Brauche bitte eure Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (3)
  13. Habe mir einen Olmarik Trojaner eingefangen ;-(
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (10)
  14. Olmarik Trojaner gefunden - win32/olmarik trojaner
    Plagegeister aller Art und deren Bekämpfung - 20.01.2010 (1)
  15. Olmarik Trojaner gefunden, Avira Antivir streikt
    Plagegeister aller Art und deren Bekämpfung - 20.01.2010 (6)
  16. Win32/Olmarik Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.01.2010 (12)

Zum Thema Olmarik.TDL4 Trojaner - Guten Abend Virenjäger, der Rechner meiner Internet-Senioren hat sich 2 Trojaner zu Weihnachten eingefangen. Sie waren natürlich als Admin im web, was soll ich dazu sagen? Da ich mich um - Olmarik.TDL4 Trojaner...
Archiv
Du betrachtest: Olmarik.TDL4 Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.