Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.03.2012, 23:06   #1
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Zunächst mal: "Danke an dieses Forum!" Ich sehe, wie viel freundliche Arbeit hier geleistet wird, Kudos!

Leider habe ich auch ein Problem. Am 1.3. meldete Avira (Premium '12) das Auftauchen dreier Viren, deren (äußerer) Symptome ich mit Malwarebytes, TDSS und eben Avira erst einmal Herr werden konnte. Ich nehme an, dass die es über ein Java-Update ins System geschafft haben, aber sicher bin ich nicht.

Bevor ich das System ganz neu aufsetzen muss, will ich alles versucht haben.

Die DDS:

Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 6.0.2900.5512  BrowserJavaVersion: 1.6.0_22
Run by Administrator at 23:38:27 on 2012-03-05
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.630 [GMT 1:00]
.
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Systools\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Systools\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
E:\Systools\Fritz.box\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
E:\Systools\Avira\AntiVir Desktop\avshadow.exe
E:\Systools\Avira\AntiVir Desktop\avmailc.exe
E:\Systools\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
D:\Audio\iTunes\iTunesHelper.exe
E:\Systools\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
E:\Systools\Acronis.TI\TrueImageMonitor.exe
E:\Systools\Acronis.TI\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Video\Any.DVD\AnyDVDtray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\CD\4wdfdzns.exe
.
============== Pseudo HJT Report ===============
.
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - e:\programme\adobe\acrobat.6\acrobat\activex\AcroIEHelper.dll
BHO: AcroIEToolbarHelper Class: {ae7cd045-e861-484f-8273-0445ee161910} - e:\programme\adobe\acrobat.6\acrobat\AcroIEFavClient.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - e:\programme\adobe\acrobat.6\acrobat\AcroIEFavClient.dll
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - e:\programme\adobe\acrobat.6\acrobat\AcroIEFavClient.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [{D67F16B2-510B-11E1-897F-806D6172696F}] c:\dokumente und einstellungen\balthasar\anwendungsdaten\microsoft\torrent.exe
uRun: [AnyDVD] e:\programme\video\any.dvd\AnyDVDtray.exe
mRun: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [iTunesHelper] "d:\audio\itunes\iTunesHelper.exe"
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
mRun: [avgnt] "e:\systools\avira\antivir desktop\avgnt.exe" /min
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [nwiz] nwiz.exe /install
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [itype] "c:\programme\microsoft intellitype pro\itype.exe"
mRun: [TrueImageMonitor.exe] e:\systools\acronis.ti\TrueImageMonitor.exe
mRun: [AcronisTimounterMonitor] e:\systools\acronis.ti\TimounterMonitor.exe
mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
mRun: [MSPY2002] c:\windows\system32\ime\pintlgnt\ImScInst.exe /SYNC
mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
LSP: e:\systools\avira\antivir desktop\avsda.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
LSA: Authentication Packages = msv1_0 relog_ap
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\administrator\anwendungsdaten\mozilla\firefox\profiles\9s637xwb.default\
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\audio\itunes\mozilla plugins\npitunes.dll
FF - plugin: e:\internet\firefox\plugins\npdeployJava1.dll
FF - plugin: e:\internet\firefox\plugins\npViewpoint.dll
FF - plugin: e:\programme\adobe\acrobat.6\acrobat\browser\nppdf32.dll
.
============= SERVICES / DRIVERS ===============
.
R0 vidsflt53;Acronis Disk Storage Filter (53);c:\windows\system32\drivers\vsflt53.sys [2012-2-7 83392]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-2-7 36000]
R2 AntiVirMailService;Avira Email Schutz;e:\systools\avira\antivir desktop\avmailc.exe [2012-3-2 342480]
R2 AntiVirSchedulerService;Avira Planer;e:\systools\avira\antivir desktop\sched.exe [2012-2-7 86224]
R2 AntiVirService;Avira Echtzeit Scanner;e:\systools\avira\antivir desktop\avguard.exe [2012-2-7 110032]
R2 AntiVirWebService;Avira Browser Schutz;e:\systools\avira\antivir desktop\avwebgrd.exe [2012-2-7 463824]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-2-7 74640]
R2 IGDCTRL;AVM IGD CTRL Service;e:\systools\fritz.box\IGDCTRL.EXE [2007-10-25 87344]
.
=============== Created Last 30 ================
.
2012-03-05 20:47:00	1409	----a-w-	c:\windows\QTFont.for
2012-03-05 20:16:05	--------	d-----w-	c:\dokumente und einstellungen\administrator\anwendungsdaten\Malwarebytes
2012-03-02 12:44:15	--------	d-----w-	c:\windows\system32\SoftwareDistribution
2012-03-01 20:43:56	--------	d-----w-	c:\programme\CCleaner
2012-03-01 17:18:53	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-03-01 17:18:51	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-27 19:40:57	36927	-c--a-w-	c:\windows\system32\dllcache\padrs411.dll
2012-02-27 19:33:17	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2012-02-27 19:33:17	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2012-02-27 19:33:17	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2012-02-27 19:33:17	8192	----a-w-	c:\windows\system32\kbdkor.dll
2012-02-27 19:33:17	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2012-02-27 19:33:17	6144	----a-w-	c:\windows\system32\kbd101c.dll
2012-02-27 19:33:17	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2012-02-27 19:33:17	5632	----a-w-	c:\windows\system32\kbd103.dll
2012-02-27 19:33:13	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2012-02-27 19:33:13	6144	----a-w-	c:\windows\system32\kbd101b.dll
2012-02-27 19:33:11	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2012-02-27 19:33:11	6144	----a-w-	c:\windows\system32\kbd106.dll
2012-02-26 14:44:53	--------	d-----w-	c:\dokumente und einstellungen\administrator\anwendungsdaten\Pegasys Inc
2012-02-26 14:21:37	--------	d-----w-	c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Mozilla
2012-02-26 04:07:59	--------	d-----w-	c:\dokumente und einstellungen\administrator\anwendungsdaten\Avira
2012-02-25 20:58:42	306688	----a-w-	c:\windows\IsUninst.exe
2012-02-24 03:41:46	--------	d-----w-	c:\windows\pss
2012-02-23 00:28:33	10624	-c--a-w-	c:\windows\system32\dllcache\gameenum.sys
2012-02-23 00:28:33	10624	----a-w-	c:\windows\system32\drivers\gameenum.sys
2012-02-22 23:43:00	5504	-c--a-w-	c:\windows\system32\dllcache\mstee.sys
2012-02-22 23:43:00	5504	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2012-02-22 12:02:13	--------	d-----w-	c:\windows\SHELLNEW
2012-02-22 11:54:32	606208	----a-w-	c:\windows\system32\xvidcore.dll
2012-02-22 11:54:32	438272	----a-w-	c:\windows\system32\Mpeg2DecFilter.ax
2012-02-22 11:54:32	139264	----a-w-	c:\windows\system32\xvid.ax
2012-02-20 11:45:24	133376	----a-w-	c:\programme\internet explorer\plugins\nppdf32.dll
2012-02-18 19:23:43	--------	d-----w-	c:\windows\system32\Backup
2012-02-18 19:13:36	--------	d-----w-	c:\programme\Rainbow Technologies
2012-02-18 19:12:28	86016	----a-w-	c:\windows\unvise32qt.exe
2012-02-18 19:12:25	90112	----a-w-	c:\programme\internet explorer\plugins\npqtplugin5.dll
2012-02-18 19:12:25	90112	----a-w-	c:\programme\internet explorer\plugins\npqtplugin4.dll
2012-02-18 19:12:24	90112	----a-w-	c:\programme\internet explorer\plugins\npqtplugin3.dll
2012-02-18 19:12:24	90112	----a-w-	c:\programme\internet explorer\plugins\npqtplugin2.dll
2012-02-18 19:12:24	90112	----a-w-	c:\programme\internet explorer\plugins\npqtplugin.dll
2012-02-18 19:12:08	--------	d-----w-	c:\windows\system32\QuickTime
2012-02-18 18:49:50	74240	----a-w-	c:\windows\system32\unrar.dll
2012-02-13 01:15:21	266360	----a-w-	c:\windows\system32\TweakUI.exe
2012-02-10 19:06:06	--------	d-----w-	c:\windows\system32\NtmsData
2012-02-09 01:25:48	44384	----a-w-	c:\windows\system32\drivers\tifsfilt.sys
2012-02-09 01:25:48	441760	----a-w-	c:\windows\system32\drivers\timntr.sys
2012-02-09 01:25:39	129248	----a-w-	c:\windows\system32\drivers\snapman.sys
2012-02-09 01:24:59	--------	d-----w-	c:\programme\gemeinsame dateien\Acronis
2012-02-09 01:00:56	368480	----a-w-	c:\windows\system32\drivers\tdrpman.sys
2012-02-08 20:11:45	--------	d-----w-	c:\programme\Microsoft IntelliType Pro
2012-02-08 00:18:32	5632	----a-w-	c:\windows\system32\ptpusb.dll
2012-02-08 00:18:29	159232	----a-w-	c:\windows\system32\ptpusd.dll
2012-02-07 22:43:39	446464	----a-w-	c:\windows\system32\nvudisp.exe
2012-02-07 22:43:39	--------	d-----w-	c:\windows\nview
2012-02-07 22:43:23	--------	d-----w-	c:\windows\system32\ReinstallBackups
2012-02-07 22:43:15	446464	----a-w-	c:\windows\system32\NVUNINST.EXE
2012-02-07 22:43:12	32768	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\Objectps.dll
2012-02-07 22:43:11	729088	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\iKernel.dll
2012-02-07 22:43:11	69715	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\ctor.dll
2012-02-07 22:43:11	5632	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\DotNetInstaller.exe
2012-02-07 22:43:11	266240	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\iscript.dll
2012-02-07 22:43:11	192512	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\iuser.dll
2012-02-07 22:43:10	188548	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\iGdi.dll
2012-02-07 22:43:09	311428	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\09\01\intel32\setup.dll
2012-02-07 22:07:59	33104	----a-w-	c:\windows\system32\spool\prtprocs\w32x86\msonpppr.dll
2012-02-07 22:07:59	31640	----a-w-	c:\windows\system32\msonpmon.dll
2012-02-07 20:33:02	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-02-07 20:33:02	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-02-07 20:33:00	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Avira
2012-02-07 19:06:55	216064	----a-w-	c:\windows\iun3405.exe
2012-02-07 19:06:55	--------	d-----w-	c:\windows\desktop
2012-02-07 14:10:04	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-02-07 14:10:04	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-07 14:04:55	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-07 13:10:55	--------	d-----w-	c:\windows\system32\appmgmt
2012-02-07 13:06:23	59488	----a-w-	c:\windows\system32\GenSvcInst.exe
2012-02-07 13:06:23	33408	----a-w-	c:\windows\system32\drivers\CDRBSDRV.SYS
2012-02-07 13:06:23	145504	----a-w-	c:\windows\system32\bgsvcgen.exe
2012-02-07 13:00:32	77824	----a-w-	c:\programme\gemeinsame dateien\installshield\engine\6\intel 32\ctor.dll
2012-02-07 13:00:32	32768	------w-	c:\programme\gemeinsame dateien\installshield\engine\6\intel 32\objectps.dll
2012-02-07 13:00:32	225280	------w-	c:\programme\gemeinsame dateien\installshield\iscript\iscript.dll
2012-02-07 13:00:32	176128	------w-	c:\programme\gemeinsame dateien\installshield\engine\6\intel 32\iuser.dll
2012-02-07 13:00:31	610436	----a-w-	c:\programme\gemeinsame dateien\installshield\engine\6\intel 32\IKernel.exe
2012-02-07 13:00:31	--------	d-----w-	c:\programme\gemeinsame dateien\InstallShield
2012-02-07 12:47:46	58938	----a-w-	c:\windows\system32\atlu.dll
2012-02-07 12:47:46	424960	----a-w-	c:\windows\system32\msms001.vwp
2012-02-07 12:47:46	413760	----a-w-	c:\windows\system32\mpg4c32.dll
2012-02-07 12:47:46	281600	----a-w-	c:\windows\system32\mvoice.vwp
2012-02-07 12:47:45	82944	----a-w-	c:\windows\system32\vct3216.acm
2012-02-07 12:47:45	29184	----a-w-	c:\windows\system32\popup.ocx
2012-02-07 12:47:45	28160	----a-w-	c:\windows\system32\regcodec.exe
2012-02-07 12:47:45	278016	----a-w-	c:\windows\system32\vct3216.dll
2012-02-07 12:33:21	5504	----a-w-	c:\windows\system32\drivers\imagedrv.sys
2012-02-07 12:33:21	125184	----a-w-	c:\windows\system32\drivers\imagesrv.sys
2012-02-07 12:33:04	569344	----a-w-	c:\windows\system32\imagr5.dll
2012-02-07 12:33:04	544768	----a-w-	c:\windows\system32\imagx5.dll
2012-02-07 12:33:04	38912	----a-w-	c:\windows\system32\picn20.dll
2012-02-07 12:33:04	283920	----a-w-	c:\windows\system32\ImagXpr5.dll
2012-02-07 12:33:04	106496	----a-w-	c:\windows\system32\TwnLib20.dll
2012-02-07 12:33:03	155648	----a-w-	c:\windows\system32\NeroCheck.exe
2012-02-07 12:33:03	--------	d-----w-	c:\programme\gemeinsame dateien\Ahead
2012-02-07 12:28:32	328704	----a-w-	c:\windows\IsUn0407.exe
2012-02-07 12:26:35	--------	d-----w-	c:\programme\gemeinsame dateien\AVM
2012-02-07 12:25:31	--------	d-----w-	c:\programme\gemeinsame dateien\Wise Installation Wizard
2012-02-07 03:09:04	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2012-02-07 03:09:04	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2012-02-07 03:03:14	--------	d-----w-	c:\programme\iPod
2012-02-07 03:03:10	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2012-02-07 03:02:00	4517664	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-02-07 03:02:00	42496	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2012-02-07 03:01:18	--------	d-----w-	c:\programme\Bonjour
2012-02-07 03:00:53	--------	d-----w-	c:\programme\gemeinsame dateien\Apple
2012-02-07 01:47:40	993347	----a-w-	c:\windows\unins000.exe
2012-02-07 01:33:19	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2012-02-07 01:33:19	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
.
==================== Find3M  ====================
.
2012-02-18 19:23:44	421888	----a-w-	c:\windows\system32\AvidDVCodec.dll
2012-02-09 00:06:52	83392	----a-w-	c:\windows\system32\drivers\vsflt53.sys
2012-02-07 00:23:46	125472	----a-w-	c:\windows\system32\drivers\vididr.sys
2012-01-29 20:22:55	121208	----a-w-	c:\windows\system32\drivers\AnyDVD.sys
.
============= FINISH: 23:39:08,57 ===============
         
Auffälligkeiten sind bisher eine deutlich reduzierte DSL-Bandbreite, die ich in der Fritzbox nachlesen konnte (was aber mMn auch am Provider bzw. dem Netz hier liegen könnte); und die Tatsache, dass mir alle Systemwiederherstellungspunkte seit 24.2. anscheinend zerschossen wurden (XP meldet "nicht wiederherstellbar).

Für Hilfe bin ich sehr dankbar!
Angehängte Dateien
Dateityp: txt defogger_disable.txt (550 Bytes, 159x aufgerufen)

Alt 06.03.2012, 13:47   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Zitat:
ich mit Malwarebytes, TDSS und eben Avira erst einmal Herr werden konnte.
WO sind die Logs dazu?
Mit dem TDSS-Killer solltest du sehr vorsichtig sein!
__________________

__________________

Alt 06.03.2012, 19:45   #3
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Der TDSS-Killer hatte nichts gefunden. Log von Malwarebytes anbei.
__________________
Angehängte Dateien
Dateityp: txt mbam-log-2012-03-01 (19-01-07).txt (2,7 KB, 157x aufgerufen)
Dateityp: txt AVSCAN-20120301-192143-D4EB44A2.txt (28,1 KB, 166x aufgerufen)

Alt 06.03.2012, 20:19   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.03.2012, 20:40   #5
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Sorry. Anbei.

Angehängte Dateien
Dateityp: txt mbam-log-2012-03-03 (15-32-44).txt (2,2 KB, 154x aufgerufen)
Dateityp: txt mbam-log-2012-03-01 (21-21-26).txt (2,6 KB, 176x aufgerufen)
Dateityp: txt AVSCAN-20120306-023457-6E50C8BE.TXT (21,6 KB, 161x aufgerufen)

Geändert von Dorthonion (06.03.2012 um 21:22 Uhr)

Alt 06.03.2012, 23:04   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
--> Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht

Alt 07.03.2012, 21:27   #7
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Und das kam dabei raus:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a3c4f15f2042114696e0ea025050c9e2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-07 09:21:52
# local_time=2012-03-07 10:21:52 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 69732 69732 0 0
# scanned=168452
# found=1
# cleaned=0
# scan_time=8929
C:\Dokumente und Einstellungen\Dorthonion\Lokale Einstellungen\Temp\is1070216317\MyBabylonTB.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
         

Alt 07.03.2012, 22:34   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.03.2012, 12:48   #9
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Habe ich gemacht, hier ist das Ergebnis.

Code:
ATTFilter
OTL logfile created on: 08.03.2012 12:51:39 - Run 1
OTL by OldTimer - Version 3.2.35.0     Folder = D:\CD
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,48 Mb Total Physical Memory | 666,90 Mb Available Physical Memory | 65,16% Memory free
2,40 Gb Paging File | 2,03 Gb Available in Paging File | 84,64% Paging File free
Paging file location(s): E:\pagefile.sys 1536 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 38,28 Gb Total Space | 28,06 Gb Free Space | 73,28% Space Free | Partition Type: NTFS
Drive D: | 465,76 Gb Total Space | 327,06 Gb Free Space | 70,22% Space Free | Partition Type: NTFS
Drive E: | 200,01 Gb Total Space | 193,09 Gb Free Space | 96,54% Space Free | Partition Type: NTFS
Drive G: | 286,47 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: DESKTOP-BVW | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.03.03 21:22:57 | 000,585,216 | ---- | M] (OldTimer Tools) -- D:\CD\OTL.exe
PRC - [2012.02.07 14:04:57 | 000,145,504 | ---- | M] (B.H.A Corporation) -- C:\WINDOWS\system32\bgsvcgen.exe
PRC - [2012.01.31 09:11:51 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Systools\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.01.31 09:11:15 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Systools\Avira\AntiVir Desktop\sched.exe
PRC - [2012.01.31 09:11:01 | 000,463,824 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Systools\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2012.01.31 09:10:56 | 000,342,480 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Systools\Avira\AntiVir Desktop\avmailc.exe
PRC - [2012.01.31 09:10:56 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Systools\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.01.31 09:10:56 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Systools\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.12.03 11:26:02 | 000,498,792 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
PRC - [2007.12.03 11:09:42 | 000,911,184 | ---- | M] (Acronis) -- E:\Systools\Acronis.TI\TimounterMonitor.exe
PRC - [2007.12.03 11:06:38 | 000,140,568 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2007.12.03 11:06:36 | 000,427,288 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2007.12.03 11:06:08 | 002,622,104 | ---- | M] (Acronis) -- E:\Systools\Acronis.TI\TrueImageMonitor.exe
PRC - [2007.10.25 17:09:18 | 000,087,344 | ---- | M] (AVM Berlin) -- E:\Systools\Fritz.box\IGDCTRL.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.01.31 09:11:17 | 000,398,288 | ---- | M] () -- E:\Systools\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2007.12.03 11:26:02 | 000,498,792 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - [2012.02.07 14:04:57 | 000,145,504 | ---- | M] (B.H.A Corporation) [Auto | Running] -- C:\WINDOWS\System32\bgsvcgen.exe -- (bgsvcgen)
SRV - [2012.01.31 09:11:15 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- E:\Systools\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.01.31 09:11:01 | 000,463,824 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- E:\Systools\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012.01.31 09:10:56 | 000,342,480 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- E:\Systools\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012.01.31 09:10:56 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- E:\Systools\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.10.24 21:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2007.12.03 11:26:02 | 000,498,792 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe -- (TryAndDecideService)
SRV - [2007.12.03 11:06:36 | 000,427,288 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007.10.25 17:09:18 | 000,087,344 | ---- | M] (AVM Berlin) [Auto | Running] -- E:\Systools\Fritz.box\IGDCTRL.EXE -- (IGDCTRL)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.02.16 20:56:01 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.02.09 02:25:48 | 000,441,760 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2012.02.09 02:25:48 | 000,044,384 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2012.02.09 02:25:39 | 000,129,248 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2012.02.09 02:25:33 | 000,368,480 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\tdrpman.sys -- (tdrpman)
DRV - [2012.02.09 01:06:52 | 000,083,392 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\vsflt53.sys -- (vidsflt53) Acronis Disk Storage Filter (53)
DRV - [2012.02.07 14:04:57 | 000,033,408 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS -- (cdrbsdrv)
DRV - [2012.01.29 21:22:55 | 000,121,208 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD)
DRV - [2011.12.15 15:00:00 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.12.15 15:00:00 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.04.13 22:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004.08.04 13:00:00 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\fsvga.sys -- (FsVga)
DRV - [2002.09.28 02:17:18 | 000,054,272 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AvidXPSerial.sys -- (Serial)
DRV - [2002.06.11 19:55:08 | 000,013,780 | ---- | M] (Padus, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
DRV - [2001.06.22 05:39:02 | 000,073,728 | ---- | M] (Rainbow Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel)
DRV - [2001.02.01 16:10:12 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\S-1-5-21-1614895754-823518204-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Audio\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: E:\Internet\Firefox\components [2012.03.04 23:14:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: E:\Internet\Firefox\plugins [2012.02.07 02:54:24 | 000,000,000 | ---D | M]
 
[2012.02.26 15:22:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat.6\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll ()
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll ()
O3 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] E:\Systools\Acronis.TI\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] E:\Systools\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [TrueImageMonitor.exe] E:\Systools\Acronis.TI\TrueImageMonitor.exe (Acronis)
O4 - HKU\S-1-5-21-1614895754-823518204-1606980848-500..\Run: [{D67F16B2-510B-11E1-897F-806D6172696F}] C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Microsoft\torrent.exe File not found
O4 - HKU\S-1-5-21-1614895754-823518204-1606980848-500..\Run: [AnyDVD] E:\Programme\Video\Any.DVD\AnyDVDtray.exe (SlySoft, Inc.)
O4 - HKLM..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoToolbarCustomize = 0
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 02 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 01 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoComputersNearMe = 01 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 02 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - E:\Systools\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - E:\Systools\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - E:\Systools\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.37.37.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6103AD00-64ED-49F0-B906-DF8426C0FEF5}: DhcpNameServer = 10.37.37.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Orbit.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Orbit.bmp
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.02.07 01:07:22 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpReg: {B6139525-9EEE-15A2-877D-EE4B9C9FA582} - hkey= - key= -  File not found
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 0
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: SENTINEL - C:\WINDOWS\System32\snti386.dll (Rainbow Technologies, Inc.)
Drivers32: vidc.AVRn - C:\WINDOWS\System32\AvidAVICodec.dll (Avid Technology, Inc)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.03.08 00:00:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X-Setup Pro
[2012.03.08 00:00:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\X-Setup Pro
[2012.03.07 18:56:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\PreInstall
[2012.03.07 18:56:12 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$hf_mig$
[2012.03.07 01:30:52 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.03.05 23:20:49 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
[2012.03.05 21:16:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2012.03.05 18:41:40 | 000,000,000 | R--D | C] -- D:\Daten\Axialis Librarian
[2012.03.02 13:58:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2012.03.02 13:44:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution
[2012.03.01 21:43:56 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.03.01 18:18:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.01 18:18:51 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.02.26 15:44:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Pegasys Inc
[2012.02.26 15:21:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2012.02.26 15:21:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
[2012.02.26 15:21:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2012.02.26 15:21:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
[2012.02.26 14:55:49 | 000,000,000 | ---D | C] -- D:\Daten\AnyDVDHD
[2012.02.26 14:33:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2012.02.26 14:33:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SlySoft
[2012.02.26 14:21:11 | 002,063,920 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Administrator\Desktop\TDSSKiller.exe
[2012.02.26 13:56:05 | 000,000,000 | R--D | C] -- D:\Daten\Eigene Bilder
[2012.02.26 05:07:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
[2012.02.26 05:02:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
[2012.02.26 05:02:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities
[2012.02.26 05:02:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
[2012.02.26 05:02:13 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2012.02.26 05:02:13 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2012.02.26 05:02:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2012.02.26 05:02:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2012.02.26 05:02:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2012.02.26 05:02:13 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2012.02.26 05:02:13 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2012.02.26 05:02:13 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2012.02.26 05:02:13 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2012.02.26 05:02:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2012.02.26 05:02:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2012.02.26 05:02:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2012.02.26 05:02:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2012.02.26 05:02:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012.02.26 05:02:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2012.02.25 17:22:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\CATraxx
[2012.02.24 04:41:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2012.02.23 01:21:32 | 000,000,000 | R--D | C] -- D:\Daten\Eigene Videos
[2012.02.22 13:02:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\SHELLNEW
[2012.02.22 12:56:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Application Data
[2012.02.22 12:54:32 | 000,606,208 | ---- | C] (hxxp://www.xvid.org) -- C:\WINDOWS\System32\xvidcore.dll
[2012.02.22 12:54:32 | 000,438,272 | ---- | C] (Gabest) -- C:\WINDOWS\System32\Mpeg2DecFilter.ax
[2012.02.22 12:54:32 | 000,139,264 | ---- | C] (hxxp://www.xvid.org) -- C:\WINDOWS\System32\xvid.ax
[2012.02.22 12:49:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2012.02.20 13:28:54 | 000,000,000 | ---D | C] -- D:\Daten\Avid
[2012.02.18 20:23:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Backup
[2012.02.18 20:14:50 | 000,466,944 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\ommclient.dll
[2012.02.18 20:14:50 | 000,073,728 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\xmltok.dll
[2012.02.18 20:14:50 | 000,061,440 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\libjpegV4.dll
[2012.02.18 20:14:49 | 000,614,400 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\AvOmfToolkit.dll
[2012.02.18 20:14:49 | 000,040,960 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\INETTransportLibrary.dll
[2012.02.18 20:14:49 | 000,036,864 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\xmlparse.dll
[2012.02.18 20:14:48 | 000,307,200 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\mmclient.dll
[2012.02.18 20:14:47 | 000,000,000 | ---D | C] -- C:\Programme\Digidesign
[2012.02.18 20:14:45 | 007,962,624 | ---- | C] (Pinnacle Systems Inc.) -- C:\WINDOWS\System32\SVI.dll
[2012.02.18 20:14:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MEDIA
[2012.02.18 20:14:44 | 000,421,888 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\AvidDVCodec.dll
[2012.02.18 20:14:44 | 000,092,160 | ---- | C] (Avid Technology, Inc) -- C:\WINDOWS\System32\AvidQTAVUICodec.qtx
[2012.02.18 20:14:44 | 000,057,344 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\AvidQTUpdater.dll
[2012.02.18 20:14:43 | 001,912,832 | ---- | C] (Avid Technology, Inc.) -- C:\WINDOWS\System32\SAULanguage.DLL
[2012.02.18 20:14:43 | 000,208,384 | ---- | C] (Avid Technology, Inc) -- C:\WINDOWS\System32\AvidQTAVJICodec.qtx
[2012.02.18 20:14:43 | 000,141,312 | ---- | C] (ForeFront Incorporated) -- C:\WINDOWS\System32\FFBTN32.dll
[2012.02.18 20:14:42 | 000,155,648 | ---- | C] (Avid Technology, Inc) -- C:\WINDOWS\System32\AvidAVICodec.dll
[2012.02.18 20:14:41 | 000,102,400 | ---- | C] (CASH) -- C:\WINDOWS\System32\Dac32.dll
[2012.02.18 20:14:07 | 000,045,056 | ---- | C] (Adaptec) -- C:\WINDOWS\System32\wnaspi32.dll
[2012.02.18 20:14:07 | 000,025,244 | ---- | C] (Adaptec) -- C:\WINDOWS\System32\drivers\aspi32.sys
[2012.02.18 20:14:06 | 000,005,600 | ---- | C] (Adaptec) -- C:\WINDOWS\System\winaspi.dll
[2012.02.18 20:14:06 | 000,004,672 | ---- | C] (Adaptec) -- C:\WINDOWS\System\wowpost.exe
[2012.02.18 20:13:36 | 000,000,000 | ---D | C] -- C:\Programme\Rainbow Technologies
[2012.02.18 20:12:28 | 000,086,016 | ---- | C] (MindVision) -- C:\WINDOWS\unvise32qt.exe
[2012.02.18 20:12:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
[2012.02.18 20:12:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\QuickTime
[2012.02.18 20:12:07 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2012.02.17 00:37:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Audio
[2012.02.10 20:06:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2012.02.09 12:45:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis
[2012.02.09 02:26:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2012.02.09 02:24:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Acronis
[2012.02.08 21:11:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft-Tastatur
[2012.02.08 21:11:45 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft IntelliType Pro
[2012.02.08 20:46:00 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2012.02.08 02:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
[2012.02.07 23:43:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\nview
[2012.02.07 23:43:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ReinstallBackups
[2012.02.07 23:41:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\LogiShrd
[2012.02.07 23:05:18 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Works
[2012.02.07 23:04:24 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DESIGNER
[2012.02.07 22:56:31 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Office
[2012.02.07 22:55:35 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2012.02.07 21:33:04 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2012.02.07 21:33:02 | 000,137,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012.02.07 21:33:02 | 000,074,640 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012.02.07 21:33:02 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2012.02.07 21:33:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2012.02.07 20:06:55 | 000,216,064 | ---- | C] (Indigo Rose Corporation) -- C:\WINDOWS\iun3405.exe
[2012.02.07 20:06:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\desktop
[2012.02.07 15:10:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2012.02.07 15:10:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2012.02.07 15:09:40 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2012.02.07 14:10:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2012.02.07 14:06:23 | 000,145,504 | ---- | C] (B.H.A Corporation) -- C:\WINDOWS\System32\bgsvcgen.exe
[2012.02.07 14:06:23 | 000,059,488 | ---- | C] (B.H.A Corporation) -- C:\WINDOWS\System32\GenSvcInst.exe
[2012.02.07 14:06:23 | 000,033,408 | ---- | C] (B.H.A Corporation) -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS
[2012.02.07 14:01:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Media
[2012.02.07 14:01:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
[2012.02.07 14:01:31 | 000,000,000 | ---D | C] -- C:\Programme\CyberLink
[2012.02.07 14:01:30 | 000,000,000 | -H-D | C] -- C:\Programme\InstallShield Installation Information
[2012.02.07 14:00:31 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\InstallShield
[2012.02.07 13:47:46 | 000,424,960 | ---- | C] (Voxware, Inc.) -- C:\WINDOWS\System32\msms001.vwp
[2012.02.07 13:47:46 | 000,281,600 | ---- | C] (Voxware, Inc.) -- C:\WINDOWS\System32\mvoice.vwp
[2012.02.07 13:47:45 | 000,278,016 | ---- | C] (Voxware, Inc.) -- C:\WINDOWS\System32\vct3216.dll
[2012.02.07 13:47:45 | 000,082,944 | ---- | C] (Voxware, Inc.) -- C:\WINDOWS\System32\vct3216.acm
[2012.02.07 13:47:45 | 000,029,184 | ---- | C] (Blue Sky Software) -- C:\WINDOWS\System32\popup.ocx
[2012.02.07 13:44:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
[2012.02.07 13:38:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PrintMe Internet Printing
[2012.02.07 13:38:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
[2012.02.07 13:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0
[2012.02.07 13:38:08 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2012.02.07 13:33:04 | 000,569,344 | ---- | C] (Pegasus Software,LLC) -- C:\WINDOWS\System32\imagr5.dll
[2012.02.07 13:33:04 | 000,544,768 | ---- | C] (Pegasus Software, LLC) -- C:\WINDOWS\System32\imagx5.dll
[2012.02.07 13:33:04 | 000,283,920 | ---- | C] (Pegasus Software, LLC) -- C:\WINDOWS\System32\ImagXpr5.dll
[2012.02.07 13:33:04 | 000,106,496 | ---- | C] (Pegasus Software) -- C:\WINDOWS\System32\TwnLib20.dll
[2012.02.07 13:33:04 | 000,038,912 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\picn20.dll
[2012.02.07 13:33:03 | 000,155,648 | ---- | C] (Ahead Software Gmbh) -- C:\WINDOWS\System32\NeroCheck.exe
[2012.02.07 13:33:03 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Ahead
[2012.02.07 13:30:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WS_FTP Pro
[2012.02.07 13:29:21 | 000,451,888 | ---- | C] (Blue Sky Software Corporation.) -- C:\WINDOWS\System32\HHActiveX.dll
[2012.02.07 13:29:21 | 000,054,576 | ---- | C] (AVM Berlin GmbH) -- C:\WINDOWS\System32\FritzPort.dll
[2012.02.07 13:29:21 | 000,054,576 | ---- | C] (AVM Berlin GmbH) -- C:\WINDOWS\System32\FritzColorPort.dll
[2012.02.07 13:29:21 | 000,050,480 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\AvmColorFaxRender.dll
[2012.02.07 13:29:21 | 000,046,384 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\AvmFaxRender.dll
[2012.02.07 13:29:21 | 000,042,288 | ---- | C] (AVM Berlin GmbH) -- C:\WINDOWS\System32\Fridru32.dll
[2012.02.07 13:29:21 | 000,024,880 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\FritzVistaMon.dll
[2012.02.07 13:29:21 | 000,024,880 | ---- | C] (AVM Berlin) -- C:\WINDOWS\System32\FritzVistaColorMon.dll
[2012.02.07 13:29:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2012.02.07 13:26:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FRITZ!DSL
[2012.02.07 13:26:35 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\AVM
[2012.02.07 13:25:31 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2012.02.07 13:19:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Systools
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.03.08 04:10:39 | 000,000,129 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2012.03.08 03:11:03 | 000,027,403 | ---- | M] () -- C:\WINDOWS\System32\nvwsapps.xml
[2012.03.07 23:22:51 | 000,320,434 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.03.07 23:22:51 | 000,314,644 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.03.07 23:22:51 | 000,049,364 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.03.07 23:22:51 | 000,040,972 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.03.07 23:17:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.03.07 23:17:52 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.03.07 23:17:47 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys
[2012.03.07 23:17:47 | 000,261,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.03.07 22:59:06 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.03.07 19:02:04 | 000,000,049 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012.03.07 18:53:05 | 000,000,080 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2012.03.07 17:51:33 | 000,000,807 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
[2012.03.07 17:51:32 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Photoshop Elements 2.0.lnk
[2012.03.05 21:47:00 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2012.03.05 21:47:00 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for
[2012.03.05 20:09:53 | 098,981,227 | ---- | M] (Axialis Software) -- D:\Daten\MARK BRANDIS.scr
[2012.03.05 11:24:00 | 002,063,920 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Administrator\Desktop\TDSSKiller.exe
[2012.03.05 01:57:37 | 000,000,330 | ---- | M] () -- C:\WINDOWS\System\cmicnfg.ini
[2012.03.04 23:04:19 | 000,688,715 | ---- | M] () -- D:\Daten\KinoImHaus.odp
[2012.03.02 13:58:49 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.02.29 03:56:01 | 000,056,896 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat
[2012.02.27 20:36:04 | 000,008,192 | ---- | M] () -- C:\WINDOWS\d3dx.dat
[2012.02.27 01:15:54 | 005,577,083 | ---- | M] () -- D:\Daten\Nacht.tda3
[2012.02.26 14:33:09 | 000,000,622 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AnyDVD.lnk
[2012.02.26 13:57:29 | 000,000,276 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Dateien.lnk
[2012.02.26 05:09:05 | 007,864,374 | ---- | M] () -- C:\WINDOWS\Orbit.bmp
[2012.02.26 05:03:01 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012.02.26 05:01:05 | 007,864,374 | ---- | M] () -- C:\WINDOWS\snowpath.bmp
[2012.02.25 23:26:40 | 007,864,374 | ---- | M] () -- C:\WINDOWS\PlanetEris.bmp
[2012.02.25 22:00:18 | 000,000,318 | ---- | M] () -- C:\WINDOWS\PowerReg.dat
[2012.02.23 00:43:48 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avid Xpress DV.lnk
[2012.02.18 20:23:44 | 000,421,888 | ---- | M] (Avid Technology, Inc.) -- C:\WINDOWS\System32\AvidDVCodec.dll
[2012.02.18 20:12:18 | 000,000,361 | ---- | M] () -- C:\WINDOWS\System32\QuickTime.qtp
[2012.02.17 00:37:50 | 000,000,694 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2012.02.16 20:56:01 | 000,137,416 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012.02.11 19:25:19 | 000,002,729 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft-Tastatur.lnk
[2012.02.09 02:25:31 | 000,000,577 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Acronis*True*Image*Home 11.0.lnk
[2012.02.08 02:53:03 | 000,000,008 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2012.02.07 21:29:13 | 000,000,726 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PowerDVD.lnk
[2012.02.07 20:06:19 | 000,216,064 | ---- | M] (Indigo Rose Corporation) -- C:\WINDOWS\iun3405.exe
[2012.02.07 15:34:24 | 000,002,067 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FRITZ!Box starter.lnk
[2012.02.07 15:12:39 | 000,000,703 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\OpenOffice.org 3.3.lnk
[2012.02.07 14:23:05 | 000,001,630 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TMPGEnc DVD Author 3 with DivX Authoring.lnk
[2012.02.07 14:04:57 | 000,145,504 | ---- | M] (B.H.A Corporation) -- C:\WINDOWS\System32\bgsvcgen.exe
[2012.02.07 14:04:57 | 000,059,488 | ---- | M] (B.H.A Corporation) -- C:\WINDOWS\System32\GenSvcInst.exe
[2012.02.07 14:04:57 | 000,033,408 | ---- | M] (B.H.A Corporation) -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS
[2012.02.07 13:53:46 | 000,000,548 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2012.02.07 13:48:02 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012.02.07 13:38:23 | 000,001,591 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Acrobat 6.0 Professional.lnk
[2012.02.07 13:29:34 | 000,000,637 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FRITZ!fax.lnk
[2012.02.07 13:23:24 | 000,000,034 | ---- | M] () -- C:\WINDOWS\System32\oeminfo.ini
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.03.07 19:02:11 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.03.07 19:02:11 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\dllcache\iacenc.dll
[2012.03.07 17:51:33 | 000,000,807 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
[2012.03.07 17:51:32 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Photoshop Elements 2.0.lnk
[2012.03.07 17:51:32 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Photoshop Elements 2.0.lnk
[2012.03.05 21:47:00 | 000,054,156 | -H-- | C] () -- C:\WINDOWS\QTFont.qfn
[2012.03.05 21:47:00 | 000,001,409 | ---- | C] () -- C:\WINDOWS\QTFont.for
[2012.03.03 20:56:57 | 1073,270,784 | -HS- | C] () -- C:\hiberfil.sys
[2012.02.27 20:41:39 | 001,158,818 | ---- | C] () -- C:\WINDOWS\System32\korwbrkr.lex
[2012.02.27 20:41:39 | 001,158,818 | ---- | C] () -- C:\WINDOWS\System32\dllcache\korwbrkr.lex
[2012.02.27 20:41:39 | 000,001,486 | ---- | C] () -- C:\WINDOWS\System32\noise.kor
[2012.02.27 20:41:38 | 000,002,060 | ---- | C] () -- C:\WINDOWS\System32\noise.jpn
[2012.02.27 20:41:28 | 000,211,938 | ---- | C] () -- C:\WINDOWS\System32\lcphrase.tbl
[2012.02.27 20:41:28 | 000,146,126 | ---- | C] () -- C:\WINDOWS\System32\array30.tab
[2012.02.27 20:41:28 | 000,110,566 | ---- | C] () -- C:\WINDOWS\System32\arphr.tbl
[2012.02.27 20:41:28 | 000,018,600 | ---- | C] () -- C:\WINDOWS\System32\arrayhw.tab
[2012.02.27 20:41:28 | 000,016,312 | ---- | C] () -- C:\WINDOWS\System32\arptr.tbl
[2012.02.27 20:41:27 | 000,043,242 | ---- | C] () -- C:\WINDOWS\System32\phoncode.tbl
[2012.02.27 20:41:27 | 000,024,114 | ---- | C] () -- C:\WINDOWS\System32\lcptr.tbl
[2012.02.27 20:41:27 | 000,004,071 | ---- | C] () -- C:\WINDOWS\System32\phon.tbl
[2012.02.27 20:41:27 | 000,002,714 | ---- | C] () -- C:\WINDOWS\System32\phonptr.tbl
[2012.02.27 20:41:26 | 000,116,285 | ---- | C] () -- C:\WINDOWS\System32\msdayi.tbl
[2012.02.27 20:41:26 | 000,000,700 | ---- | C] () -- C:\WINDOWS\System32\dayiptr.tbl
[2012.02.27 20:41:26 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\dayiphr.tbl
[2012.02.27 20:41:25 | 000,044,370 | ---- | C] () -- C:\WINDOWS\System32\acode.tbl
[2012.02.27 20:41:25 | 000,044,370 | ---- | C] () -- C:\WINDOWS\System32\a234.tbl
[2012.02.27 20:41:25 | 000,001,460 | ---- | C] () -- C:\WINDOWS\System32\a15.tbl
[2012.02.27 20:41:21 | 001,223,500 | ---- | C] () -- C:\WINDOWS\System32\WINZM.MB
[2012.02.27 20:41:20 | 001,783,864 | ---- | C] () -- C:\WINDOWS\System32\WINPY.MB
[2012.02.27 20:41:20 | 001,564,868 | ---- | C] () -- C:\WINDOWS\System32\WINSP.MB
[2012.02.27 20:41:17 | 000,134,339 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imekr.lex
[2012.02.27 20:41:17 | 000,108,827 | ---- | C] () -- C:\WINDOWS\System32\dllcache\hanja.lex
[2012.02.27 20:40:36 | 000,173,568 | ---- | C] () -- C:\WINDOWS\System32\dllcache\chtskf.dll
[2012.02.27 20:40:31 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\dllcache\pintlcsa.dll
[2012.02.27 20:40:26 | 000,059,392 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imscinst.exe
[2012.02.27 20:40:11 | 013,463,552 | ---- | C] () -- C:\WINDOWS\System32\dllcache\hwxjpn.dll
[2012.02.27 20:40:10 | 000,196,665 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imjpinst.exe
[2012.02.27 20:36:04 | 000,008,192 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2012.02.27 20:13:48 | 000,002,205 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe After Effects 5.5.lnk
[2012.02.27 16:40:26 | 000,056,896 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2012.02.26 17:10:26 | 005,577,083 | ---- | C] () -- D:\Daten\Nacht.tda3
[2012.02.26 14:33:09 | 000,000,622 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AnyDVD.lnk
[2012.02.26 14:06:54 | 000,000,080 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2012.02.26 13:57:29 | 000,000,276 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Dateien.lnk
[2012.02.26 05:09:04 | 007,864,374 | ---- | C] () -- C:\WINDOWS\Orbit.bmp
[2012.02.26 05:04:02 | 007,864,374 | ---- | C] () -- C:\WINDOWS\snowpath.bmp
[2012.02.26 05:02:14 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2012.02.26 05:02:14 | 000,000,778 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk
[2012.02.25 23:26:36 | 007,864,374 | ---- | C] () -- C:\WINDOWS\PlanetEris.bmp
[2012.02.25 21:59:57 | 000,000,318 | ---- | C] () -- C:\WINDOWS\PowerReg.dat
[2012.02.18 20:17:45 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avid Xpress DV.lnk
[2012.02.18 20:14:45 | 000,054,272 | ---- | C] () -- C:\WINDOWS\System32\drivers\AvidXPSerial.sys
[2012.02.18 20:14:44 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\AvidStartup.exe
[2012.02.18 20:14:44 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\Cpuinf32.dll
[2012.02.18 20:14:43 | 000,066,560 | ---- | C] () -- C:\WINDOWS\System32\AvidQTAVdvCodec.qtx
[2012.02.18 20:14:42 | 000,289,280 | ---- | C] () -- C:\WINDOWS\System32\AvidQTCodec.qtx
[2012.02.18 20:12:17 | 000,000,361 | ---- | C] () -- C:\WINDOWS\System32\QuickTime.qtp
[2012.02.18 19:49:50 | 000,074,240 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2012.02.17 00:37:49 | 000,000,694 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2012.02.13 02:15:21 | 000,160,217 | ---- | C] () -- C:\WINDOWS\System32\PowerToysLicense.rtf
[2012.02.09 02:25:31 | 000,000,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Acronis*True*Image*Home 11.0.lnk
[2012.02.08 21:11:59 | 000,002,729 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft-Tastatur.lnk
[2012.02.08 02:40:28 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2012.02.07 23:43:41 | 000,186,407 | ---- | C] () -- C:\WINDOWS\System32\nvapps.xml
[2012.02.07 23:43:41 | 000,027,403 | ---- | C] () -- C:\WINDOWS\System32\nvwsapps.xml
[2012.02.07 23:43:39 | 000,018,070 | ---- | C] () -- C:\WINDOWS\System32\nvdisp.nvu
[2012.02.07 21:33:21 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.02.07 21:15:33 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2012.02.07 18:09:36 | 000,000,704 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\JDownloader.lnk
[2012.02.07 18:09:36 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\JDownloader Deinstallationsprogramm.lnk
[2012.02.07 18:09:36 | 000,000,649 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\JDownloader Update.lnk
[2012.02.07 15:12:39 | 000,000,703 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\OpenOffice.org 3.3.lnk
[2012.02.07 14:32:33 | 000,000,129 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2012.02.07 14:23:05 | 000,001,630 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TMPGEnc DVD Author 3 with DivX Authoring.lnk
[2012.02.07 14:01:32 | 000,000,726 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PowerDVD.lnk
[2012.02.07 13:57:34 | 000,000,668 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Final Draft 6.lnk
[2012.02.07 13:53:46 | 000,000,548 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2012.02.07 13:53:46 | 000,000,548 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2012.02.07 13:47:45 | 000,028,160 | ---- | C] () -- C:\WINDOWS\System32\regcodec.exe
[2012.02.07 13:38:23 | 000,001,818 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 6.0 Professional.lnk
[2012.02.07 13:38:23 | 000,001,818 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Acrobat Distiller 6.0.lnk
[2012.02.07 13:38:23 | 000,001,591 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Acrobat 6.0 Professional.lnk
[2012.02.07 13:29:34 | 000,000,637 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FRITZ!fax.lnk
[2012.02.07 13:26:37 | 000,002,067 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FRITZ!Box starter.lnk
[2012.02.07 13:23:24 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2012.02.07 02:47:40 | 000,993,347 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2012.02.07 02:47:40 | 000,020,426 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2012.02.07 01:10:52 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.02.07 01:02:36 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.02.06 23:13:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.02.06 23:11:53 | 000,261,432 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.02.01 01:13:03 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2012.02.01 01:13:03 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
 
========== LOP Check ==========
 
[2012.02.26 15:44:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Pegasys Inc
[2012.03.08 00:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\X-Setup Pro
[2012.02.09 02:26:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2012.02.07 13:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2012.02.26 14:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2012.03.08 00:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X-Setup Pro
[2012.02.07 04:09:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012.02.07 01:40:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Acronis
[2012.03.05 21:05:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Axialis
[2012.02.07 13:59:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Final Draft
[2012.02.07 13:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\FRITZ!fax für FRITZ!Box
[2012.02.07 14:27:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\LEAPS
[2012.02.07 17:11:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\OpenOffice.org
[2012.03.05 21:05:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Papyrus Autor
[2012.02.07 03:19:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Pegasus Mail
[2012.02.07 14:06:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Pegasys Inc
[2012.02.22 13:55:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\PPT2DVD
[2012.02.09 12:45:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
[2012.02.22 12:56:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Application Data\Moyea
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
Invalid Environment Variable: APPDATA
 
Invalid Environment Variable: APPDATA
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll
[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2012.02.07 00:10:36 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2012.02.07 00:10:36 | 001,089,536 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2012.02.07 00:10:35 | 000,442,368 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >
         
Die "Extras" sind hier:

Code:
ATTFilter
OTL Extras logfile created on: 08.03.2012 12:51:39 - Run 1
OTL by OldTimer - Version 3.2.35.0     Folder = D:\CD
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,48 Mb Total Physical Memory | 666,90 Mb Available Physical Memory | 65,16% Memory free
2,40 Gb Paging File | 2,03 Gb Available in Paging File | 84,64% Paging File free
Paging file location(s): E:\pagefile.sys 1536 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 38,28 Gb Total Space | 28,06 Gb Free Space | 73,28% Space Free | Partition Type: NTFS
Drive D: | 465,76 Gb Total Space | 327,06 Gb Free Space | 70,22% Space Free | Partition Type: NTFS
Drive E: | 200,01 Gb Total Space | 193,09 Gb Free Space | 96,54% Space Free | Partition Type: NTFS
Drive G: | 286,47 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: DESKTOP-BVW | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- E:\Internet\Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-500\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- E:\Internet\Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"E:\Systools\Fritz.box\IGDCTRL.EXE" = E:\Systools\Fritz.box\IGDCTRL.EXE:*:Enabled:FRITZ!Box starter - igdctrl.exe -- (AVM Berlin)
"E:\Systools\Fritz.box\FBoxUpd.exe" = E:\Systools\Fritz.box\FBoxUpd.exe:*:Enabled:FRITZ!Box starter - fboxupd.exe -- (AVM Berlin)
"E:\Systools\Fritz.box\WebwaIgd.exe" = E:\Systools\Fritz.box\WebwaIgd.exe:*:Enabled:FRITZ!Box starter - webwaigd.exe -- (AVM Berlin)
"E:\Systools\Fritz.box\Setup\igd_finder.exe" = E:\Systools\Fritz.box\Setup\igd_finder.exe:LocalSubNet:Enabled:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe -- ()
"E:\Internet\WS_FTP\ftp95pro.exe" = E:\Internet\WS_FTP\ftp95pro.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Disabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{11E94FDB-C895-45F1-B756-1C9B8C36C8F1}" = Microsoft IntelliType Pro 7.1
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{3127F76D-5335-4AC7-BD1E-2F5247A23C24}" = iTunes
"{31851B85-C98E-44DE-8750-9843BCD63963}" = Adobe After Effects 5.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E9F2540-DD55-42FB-8EB6-5508EEC54013}" = TMPGEnc DVD Author 3 with DivX Authoring
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4E9F7AD8-E3EC-4636-BD25-A5AD97E73C64}" = FRITZ!Box starter
"{633A06C3-B709-479A-AAB3-5EE94AD9EE4B}" = Acronis*True*Image*Home
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{791CAF6C-90A3-11D4-8306-00D0B72E1DB9}" = Sentinel System Driver
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{2D93D6D2-CA5B-4767-91DA-3E8F60E81664}" = 
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = 2007 Microsoft Office Suite Service Pack 3 (SP3)
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{A9F5E1E1-1281-4862-90B4-6CF8E6AF83CE}_is1" = Pegasus Mail HTML Renderer 2.4.7.2
"{AAF4238F-7C29-451D-9925-C753271A5728}" = Microsoft Visual C++ Run Time  Lib Setup
"{AC76BA86-1033-0000-7760-000000000001}" = Adobe Acrobat 6.0 Professional
"{CC8B19D1-91D2-4D5B-B331-F885F432745E}" = Final Draft 6
"{EEA444D5-3CCF-47F7-AAB9-A05CA3CF97D8}" = Avid Xpress DV
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"5513-1208-7298-9440" = JDownloader 0.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 2.0" = Adobe Photoshop Elements 2.0
"AnyDVD" = AnyDVD
"Avira AntiVir Desktop" = Avira Antivirus Premium 2012
"CCleaner" = CCleaner
"CDex" = CDex extraction audio
"C-Media Audio Driver" = C-Media WDM Audio Driver
"Customizer XP_is1" = Customizer XP
"Dramatica Pro 4.0" = Dramatica Pro 4.0
"ENTERPRISE" = Microsoft Office Enterprise 2007
"ESET Online Scanner" = ESET Online Scanner v3
"Final Draft v6.0.2.5 Update" = Final Draft v6.0.2.5 Update
"FLAC" = FLAC 1.2.1b (remove only)
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NVIDIA Drivers" = NVIDIA Drivers
"Papyrus Autor" = Papyrus Autor -- from R.O.M. logicware GmbH
"Pegasus Mail" = Pegasus Mail
"Pegasus Mail, Deutsche Komplettversion_is1" = Pegasus Mail v4.63 Release 1, Build 325 (Deutsche Komplettversi
"QuickTime" = QuickTime
"Sound Forge 5.0" = Sound Forge 5.0
"Tweak UI 2.10" = Tweak UI
"WS_FTPPro" = Ipswitch WS_FTP Pro Uninstall
"xqdcXSP_is1" = XQDC X-Setup Pro 9.2.100
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 10.0.2 (x86 de)" = Mozilla Firefox 10.0.2 (x86 de)
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.02.2012 12:24:02 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 51813672
 
Error - 21.02.2012 12:24:04 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 21.02.2012 12:24:04 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 51815625
 
Error - 21.02.2012 12:24:04 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 51815625
 
Error - 21.02.2012 12:24:06 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 21.02.2012 12:24:06 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 51817594
 
Error - 21.02.2012 12:24:06 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 51817594
 
Error - 21.02.2012 12:24:08 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 21.02.2012 12:24:08 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 51819563
 
Error - 21.02.2012 12:24:08 | Computer Name = DESKTOP-BVW | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 51819563
 
[ System Events ]
Error - 04.03.2012 21:02:17 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira Echtzeit Scanner" wurde unerwartet beendet. Dies
 ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 04.03.2012 21:02:17 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Email Schutz" wurde mit folgendem dienstspezifischem
 Fehler beendet: 1 (0x1).
 
Error - 05.03.2012 12:12:52 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Avira Email Schutz" ist vom Dienst "Avira Echtzeit Scanner"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1066
 
Error - 05.03.2012 12:12:52 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit Scanner" wurde mit folgendem dienstspezifischem
 Fehler beendet: 306 (0x132).
 
Error - 05.03.2012 12:12:52 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Avira Browser Schutz" ist vom Dienst "Avira Echtzeit Scanner"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1066
 
Error - 07.03.2012 12:36:31 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst AntiVirSchedulerService.
 
Error - 07.03.2012 13:20:58 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Browser Schutz" wurde mit folgendem dienstspezifischem
 Fehler beendet: 1 (0x1).
 
Error - 07.03.2012 13:21:01 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira Echtzeit Scanner" wurde unerwartet beendet. Dies
 ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 07.03.2012 13:21:01 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Email Schutz" wurde mit folgendem dienstspezifischem
 Fehler beendet: 1 (0x1).
 
Error - 07.03.2012 13:21:05 | Computer Name = DESKTOP-BVW | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit Scanner" wurde mit folgendem dienstspezifischem
 Fehler beendet: 306 (0x132).
 
 
< End of report >
         

Alt 08.03.2012, 14:11   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKU\S-1-5-21-1614895754-823518204-1606980848-500..\Run: [{D67F16B2-510B-11E1-897F-806D6172696F}] C:\Dokumente und Einstellungen\Dorthonion\Anwendungsdaten\Microsoft\torrent.exe File not found
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoToolbarCustomize = 0
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 02 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 01 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoComputersNearMe = 01 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 02 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1614895754-823518204-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
[2012.02.22 12:56:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Application Data\Moyea
[2012.02.27 20:41:39 | 001,158,818 | ---- | C] () -- C:\WINDOWS\System32\korwbrkr.lex
[2012.02.27 20:41:39 | 001,158,818 | ---- | C] () -- C:\WINDOWS\System32\dllcache\korwbrkr.lex
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.03.2012, 14:53   #11
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Beitrag

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Done.

Ergebnis:
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D67F16B2-510B-11E1-897F-806D6172696F}\ not found.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoToolbarCustomize deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoWinKeys deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoComputersNearMe deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoLowDiskSpaceChecks deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1614895754-823518204-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
C:\Dokumente und Einstellungen\All Users\Application Data\Moyea\PPT2DVD\CustomProfile folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Application Data\Moyea\PPT2DVD folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Application Data\Moyea folder moved successfully.
C:\WINDOWS\system32\korwbrkr.lex moved successfully.
C:\WINDOWS\system32\dllcache\korwbrkr.lex moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 46030 bytes
->FireFox cache emptied: 5850022 bytes
 
User: Administrator
->Temp folder emptied: 432701 bytes
->Temporary Internet Files folder emptied: 6331849 bytes
->FireFox cache emptied: 97371949 bytes
->Flash cache emptied: 1777 bytes
 
User: All Users
 
User: Dorthonion
->Temp folder emptied: 123403480 bytes
->Temporary Internet Files folder emptied: 142776062 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 311396012 bytes
->Flash cache emptied: 27990 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4727783 bytes
RecycleBin emptied: 93894564 bytes
 
Total Files Cleaned = 752,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.35.0 log created on 03082012_153739

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Alt 08.03.2012, 14:55   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.03.2012, 19:05   #13
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Done.

Code:
ATTFilter
ComboFix 12-03-08.02 - 08.03.2012  19:30:43.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.644 [GMT 1:00]
ausgeführt von:: d:\cd\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\desktop
c:\windows\desktop\Blade Runner Zone.url
c:\windows\IsUn0407.exe
d:\daten\DPE.DUS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-08 bis 2012-03-08  ))))))))))))))))))))))))))))))
.
.
2012-03-08 18:21 . 2012-03-08 18:21	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2012-03-08 18:21 . 2012-03-08 18:21	--------	d-sh--w-	c:\dokumente und einstellungen\Dorthonion\IETldCache
2012-03-08 17:37 . 2011-08-16 10:45	6144	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2012-03-08 17:36 . 2011-12-18 13:43	11082240	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2012-03-08 17:36 . 2011-12-17 19:43	602112	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2012-03-08 17:36 . 2011-12-17 19:43	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2012-03-08 17:36 . 2011-12-17 19:43	2000384	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2012-03-08 17:36 . 2011-12-17 19:43	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2012-03-08 17:36 . 2011-12-17 19:43	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2012-03-08 17:36 . 2011-12-17 19:43	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2012-03-08 17:34 . 2012-03-08 17:36	--------	dc-h--w-	c:\windows\ie8
2012-03-07 23:00 . 2012-03-07 23:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\X-Setup Pro
2012-03-07 19:26 . 2008-06-14 17:32	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2012-03-07 19:26 . 2008-06-14 17:32	273024	------w-	c:\windows\system32\drivers\bthport.sys
2012-03-07 19:23 . 2011-07-15 13:29	456320	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2012-03-07 18:23 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2012-03-07 18:02 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-03-07 18:02 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
2012-03-07 17:56 . 2009-01-07 17:20	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2012-03-07 17:56 . 2012-03-08 17:38	--------	d--h--w-	c:\windows\$hf_mig$
2012-03-07 00:30 . 2012-03-07 00:30	--------	d-----w-	c:\programme\ESET
2012-03-05 20:47 . 2012-03-05 20:47	1409	----a-w-	c:\windows\QTFont.for
2012-03-05 20:05 . 2012-03-05 20:05	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Axialis
2012-03-03 19:17 . 2012-03-03 19:25	--------	d-----w-	c:\dokumente und einstellungen\Admin
2012-03-01 20:43 . 2012-03-01 20:43	--------	d-----w-	c:\programme\CCleaner
2012-03-01 17:19 . 2012-03-01 17:19	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Malwarebytes
2012-03-01 17:18 . 2012-03-01 17:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-03-01 17:18 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-27 19:40 . 2004-08-04 12:00	36927	-c--a-w-	c:\windows\system32\dllcache\padrs411.dll
2012-02-27 19:33 . 2001-08-18 03:53	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2012-02-27 19:33 . 2001-08-18 03:53	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2012-02-27 19:33 . 2001-08-18 03:53	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2012-02-27 19:33 . 2001-08-18 03:53	8192	----a-w-	c:\windows\system32\kbdkor.dll
2012-02-27 19:33 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2012-02-27 19:33 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2012-02-27 19:33 . 2001-08-17 13:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2012-02-27 19:33 . 2001-08-17 13:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2012-02-27 19:33 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2012-02-27 19:33 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2012-02-27 19:33 . 2008-04-14 06:50	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2012-02-27 19:33 . 2008-04-14 06:50	6144	----a-w-	c:\windows\system32\kbd106.dll
2012-02-26 13:33 . 2012-02-26 13:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft
2012-02-26 04:02 . 2008-04-14 05:52	221184	----a-w-	c:\windows\system32\wmpns.dll
2012-02-25 20:58 . 1998-10-29 15:45	306688	----a-w-	c:\windows\IsUninst.exe
2012-02-23 00:28 . 2008-04-13 23:15	10624	-c--a-w-	c:\windows\system32\dllcache\gameenum.sys
2012-02-23 00:28 . 2008-04-13 23:15	10624	----a-w-	c:\windows\system32\drivers\gameenum.sys
2012-02-23 00:24 . 2012-02-23 00:24	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2012-02-22 23:43 . 2008-04-13 23:09	5504	-c--a-w-	c:\windows\system32\dllcache\mstee.sys
2012-02-22 23:43 . 2008-04-13 23:09	5504	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2012-02-22 12:02 . 2012-02-22 12:02	--------	d-----w-	c:\windows\SHELLNEW
2012-02-22 11:56 . 2012-02-22 12:55	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\PPT2DVD
2012-02-22 11:54 . 2008-11-20 10:07	438272	----a-w-	c:\windows\system32\Mpeg2DecFilter.ax
2012-02-22 11:54 . 2008-10-31 16:59	606208	----a-w-	c:\windows\system32\xvidcore.dll
2012-02-22 11:54 . 2008-10-31 16:59	139264	----a-w-	c:\windows\system32\xvid.ax
2012-02-22 11:49 . 2012-02-22 11:49	--------	d-----w-	c:\windows\Sun
2012-02-20 11:45 . 2003-05-15 00:01	133376	----a-w-	c:\programme\Internet Explorer\plugins\nppdf32.dll
2012-02-18 20:18 . 2012-02-18 20:18	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\MixMeister Technology
2012-02-18 19:23 . 2012-02-18 19:23	--------	d-----w-	c:\windows\system32\Backup
2012-02-18 19:13 . 2012-02-18 19:13	--------	d-----w-	c:\programme\Rainbow Technologies
2012-02-18 19:12 . 1999-11-10 10:05	86016	----a-w-	c:\windows\unvise32qt.exe
2012-02-18 19:12 . 2012-02-18 19:12	90112	----a-w-	c:\programme\Internet Explorer\plugins\npqtplugin5.dll
2012-02-18 19:12 . 2012-02-18 19:12	90112	----a-w-	c:\programme\Internet Explorer\plugins\npqtplugin4.dll
2012-02-18 19:12 . 2012-02-18 19:12	90112	----a-w-	c:\programme\Internet Explorer\plugins\npqtplugin3.dll
2012-02-18 19:12 . 2012-02-18 19:12	90112	----a-w-	c:\programme\Internet Explorer\plugins\npqtplugin2.dll
2012-02-18 19:12 . 2012-02-18 19:12	90112	----a-w-	c:\programme\Internet Explorer\plugins\npqtplugin.dll
2012-02-18 19:12 . 2012-02-18 19:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\QuickTime
2012-02-18 19:12 . 2012-02-18 19:12	--------	d-----w-	c:\windows\system32\QuickTime
2012-02-18 19:12 . 2012-02-18 19:12	--------	d-----w-	c:\programme\QuickTime
2012-02-18 18:49 . 2002-05-26 20:31	74240	----a-w-	c:\windows\system32\unrar.dll
2012-02-13 01:15 . 2003-06-25 15:05	266360	----a-w-	c:\windows\system32\TweakUI.exe
2012-02-11 18:02 . 2012-02-17 16:05	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Backups
2012-02-10 19:06 . 2012-03-06 19:59	--------	d-----w-	c:\windows\system32\NtmsData
2012-02-09 01:25 . 2012-02-09 01:25	44384	----a-w-	c:\windows\system32\drivers\tifsfilt.sys
2012-02-09 01:25 . 2012-02-09 01:25	441760	----a-w-	c:\windows\system32\drivers\timntr.sys
2012-02-09 01:25 . 2012-02-09 01:25	129248	----a-w-	c:\windows\system32\drivers\snapman.sys
2012-02-09 01:24 . 2012-02-09 01:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Acronis
2012-02-09 01:00 . 2012-02-09 01:25	368480	----a-w-	c:\windows\system32\drivers\tdrpman.sys
2012-02-08 20:11 . 2012-02-08 20:11	--------	d-----w-	c:\programme\Microsoft IntelliType Pro
2012-02-08 01:38 . 2012-02-08 01:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2012-02-08 00:18 . 2001-08-18 03:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2012-02-08 00:18 . 2008-04-14 06:52	159232	----a-w-	c:\windows\system32\ptpusd.dll
2012-02-07 22:43 . 2012-02-07 22:43	--------	d-----w-	c:\windows\nview
2012-02-07 22:43 . 2008-05-16 13:01	446464	----a-w-	c:\windows\system32\nvudisp.exe
2012-02-07 22:43 . 2008-05-16 10:48	446464	----a-w-	c:\windows\system32\NVUNINST.EXE
2012-02-07 22:43 . 2003-11-10 17:10	32768	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\Objectps.dll
2012-02-07 22:43 . 2003-11-10 17:14	729088	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2012-02-07 22:43 . 2003-11-10 17:13	69715	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2012-02-07 22:43 . 2003-11-10 17:12	266240	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2012-02-07 22:43 . 2003-11-10 17:12	192512	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2012-02-07 22:43 . 2003-11-10 17:11	5632	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2012-02-07 22:43 . 2012-02-07 22:43	188548	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
2012-02-07 22:43 . 2012-02-07 22:43	311428	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2012-02-07 22:41 . 2012-02-07 22:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\LogiShrd
2012-02-07 22:41 . 2012-02-07 22:42	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Logishrd
2012-02-07 22:41 . 2012-02-07 22:41	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Logitech
2012-02-07 22:07 . 2009-02-27 02:42	31640	----a-w-	c:\windows\system32\msonpmon.dll
2012-02-07 22:07 . 2006-10-26 18:56	33104	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2012-02-07 22:05 . 2012-02-07 22:15	--------	d-----w-	c:\programme\Microsoft Works
2012-02-07 21:55 . 2012-02-07 21:55	--------	d-----r-	C:\MSOCache
2012-02-07 21:39 . 2012-02-07 21:39	--------	d-----w-	c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Avira
2012-02-07 20:33 . 2012-02-16 19:56	137416	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-02-07 20:33 . 2011-12-15 14:00	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-02-07 20:33 . 2011-12-15 14:00	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-02-07 20:33 . 2012-03-02 12:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-02-07 19:06 . 2012-02-07 19:06	216064	----a-w-	c:\windows\iun3405.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-09 00:06 . 2012-02-07 00:23	83392	----a-w-	c:\windows\system32\drivers\vsflt53.sys
2012-02-07 14:09 . 2012-02-07 14:10	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-02-07 14:09 . 2012-02-07 14:10	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-07 14:04 . 2012-02-07 14:04	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-07 13:04 . 2012-02-07 13:06	59488	----a-w-	c:\windows\system32\GenSvcInst.exe
2012-02-07 13:04 . 2012-02-07 13:06	33408	----a-w-	c:\windows\system32\drivers\CDRBSDRV.SYS
2012-02-07 13:04 . 2012-02-07 13:06	145504	----a-w-	c:\windows\system32\bgsvcgen.exe
2012-02-07 01:54 . 2012-02-07 01:47	993347	----a-w-	c:\windows\unins000.exe
2012-02-07 00:23 . 2012-02-07 00:23	125472	----a-w-	c:\windows\system32\drivers\vididr.sys
2012-01-29 20:22 . 2012-01-29 20:22	121208	----a-w-	c:\windows\system32\drivers\AnyDVD.sys
2012-01-12 17:20 . 2008-04-14 05:23	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-12-17 19:43 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2008-04-14 05:52	43520	------w-	c:\windows\system32\licmgr10.dll
2011-12-16 12:22 . 2008-04-14 05:25	385024	------w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="d:\audio\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="e:\systools\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"nwiz"="nwiz.exe" [2008-05-16 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2009-11-11 1505144]
"TrueImageMonitor.exe"="e:\systools\Acronis.TI\TrueImageMonitor.exe" [2007-12-03 2622104]
"AcronisTimounterMonitor"="e:\systools\Acronis.TI\TimounterMonitor.exe" [2007-12-03 911184]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2012-3-7 113664]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Audio\\iTunes\\iTunes.exe"=
"e:\\Systools\\Fritz.box\\IGDCTRL.EXE"=
"e:\\Systools\\Fritz.box\\FBoxUpd.exe"=
"e:\\Systools\\Fritz.box\\WebwaIgd.exe"=
"e:\\Internet\\WS_FTP\\ftp95pro.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
.
R0 vidsflt53;Acronis Disk Storage Filter (53);c:\windows\system32\drivers\vsflt53.sys [07.02.2012 01:23 83392]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [07.02.2012 21:33 36000]
R2 AntiVirMailService;Avira Email Schutz;e:\systools\Avira\AntiVir Desktop\avmailc.exe [02.03.2012 13:58 342480]
R2 AntiVirSchedulerService;Avira Planer;e:\systools\Avira\AntiVir Desktop\sched.exe [07.02.2012 21:33 86224]
R2 AntiVirWebService;Avira Browser Schutz;e:\systools\Avira\AntiVir Desktop\avwebgrd.exe [07.02.2012 21:33 463824]
R2 IGDCTRL;AVM IGD CTRL Service;e:\systools\Fritz.box\IGDCTRL.EXE [25.10.2007 17:09 87344]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: e:\systools\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 10.37.37.1
FF - ProfilePath - c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Mozilla\Firefox\Profiles\pyc1v3sf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-{B6139525-9EEE-15A2-877D-EE4B9C9FA582} - c:\dokumente und einstellungen\Dorthonion\Anwendungsdaten\Ysn\naybmi.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-08 19:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(820)
c:\windows\system32\relog_ap.dll
e:\systools\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-03-08  19:43:17
ComboFix-quarantined-files.txt  2012-03-08 18:43
.
Vor Suchlauf: 4 Verzeichnis(se), 30.167.113.728 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 30.125.432.832 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 638ED20DCDD80B56F0BA92CE7FD6B45D
         

Alt 08.03.2012, 19:33   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.03.2012, 01:30   #15
Dorthonion
 
Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Standard

Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht



Und die neuesten Logs:

Gmer:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-09 01:46:59
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 Maxtor_6E040L0 rev.NAR61HA0
Running: moje40rf.exe; Driver: C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\fwddypoc.sys

---- System - GMER 1.0.15 ----

SSDT            F7ED24AC                                            ZwClose
SSDT            F7ED2466                                            ZwCreateKey
SSDT            F7ED24B6                                            ZwCreateSection
SSDT            F7ED248E                                            ZwCreateSymbolicLinkObject
SSDT            F7ED245C                                            ZwCreateThread
SSDT            F7ED246B                                            ZwDeleteKey
SSDT            F7ED2475                                            ZwDeleteValueKey
SSDT            F7ED24A7                                            ZwDuplicateObject
SSDT            F7ED2493                                            ZwLoadDriver
SSDT            F7ED247A                                            ZwLoadKey
SSDT            F7ED2448                                            ZwOpenProcess
SSDT            F7ED2489                                            ZwOpenSection
SSDT            F7ED244D                                            ZwOpenThread
SSDT            F7ED24CF                                            ZwQueryValueKey
SSDT            F7ED2484                                            ZwReplaceKey
SSDT            F7ED24C0                                            ZwRequestWaitReplyPort
SSDT            F7ED247F                                            ZwRestoreKey
SSDT            F7ED24BB                                            ZwSetContextThread
SSDT            F7ED24C5                                            ZwSetSecurityObject
SSDT            F7ED2498                                            ZwSetSystemInformation
SSDT            F7ED2470                                            ZwSetValueKey
SSDT            F7ED24CA                                            ZwSystemDebugControl
SSDT            F7ED2457                                            ZwTerminateProcess
SSDT            F7ED2452                                            ZwWriteVirtualMemory

Code            \??\C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys            section is writeable [0xF6E11360, 0x37388D, 0xE8000020]
?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS          Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \FileSystem\Fastfat \Fat                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
         
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 01:53:40 on 09.03.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"X-Setup Pro" - ? - E:\Systools\X-Setup Pro\bin\xqdcXSPApplet.cpl  (File found, but it contains no detailed information)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Acronis Try&Decide and Restore Points filter" (tdrpman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpman.sys
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\catchme.sys  (File not found)
"cdrbsdrv" (cdrbsdrv) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsdrv.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"fwddypoc" (fwddypoc) - ? - C:\DOKUME~1\BALTHA~1\LOKALE~1\Temp\fwddypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"Padus Aspi Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Sentinel" (Sentinel) - "Rainbow Technologies, Inc." - C:\WINDOWS\System32\Drivers\SENTINEL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"Treiber für seriellen Anschluss" (Serial) - ? - C:\WINDOWS\System32\DRIVERS\AvidXPSerial.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - E:\Programme\Adobe\Acrobat.6\Acrobat Elements\ContextMenu.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - E:\Systools\Acronis.TI\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - E:\Systools\Acronis.TI\tishell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2} "IntelliType Pro Key Settings Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplkey.dll
{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB} "IntelliType Pro Scrolling Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll
{1825D0FA-5B0C-4e20-A929-3EFD15B6DF71} "IntelliType Pro Touchpad Control Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcpltp.dll
{A2569D1F-4E06-43EC-9825-0088B471BE47} "IntelliType Pro Wireless Control Panel Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwir.dll
{97FA8AA2-EE77-4FF2-9449-424D8924EF21} "IntelliType Pro Zooming Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplzm.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - D:\Audio\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\ActiveX\AcroIEHelper.dll
{AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat.6\Acrobat\AcroIEFavClient.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"AcronisTimounterMonitor" - "Acronis" - E:\Systools\Acronis.TI\TimounterMonitor.exe
"APSDaemon" - "Apple Inc." - "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
"avgnt" - "Avira Operations GmbH & Co. KG" - "E:\Systools\Avira\AntiVir Desktop\avgnt.exe" /min
"iTunesHelper" - "Apple Inc." - "D:\Audio\iTunes\iTunesHelper.exe"
"itype" - "Microsoft Corporation" - "C:\Programme\Microsoft IntelliType Pro\itype.exe"
"MSPY2002" - ? - C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC  (File signed by Microsoft | File found, but it contains no detailed information)
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"TrueImageMonitor.exe" - "Acronis" - E:\Systools\Acronis.TI\TrueImageMonitor.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"FRITZ!fax Color Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaColorMon.dll
"FRITZ!fax Port Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaMon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Acronis Try And Decide Service" (TryAndDecideService) - ? - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe  (File found, but it contains no detailed information)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Avira Browser Schutz" (AntiVirWebService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\AVWEBGRD.EXE
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\avguard.exe
"Avira Email Schutz" (AntiVirMailService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\avmailc.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\sched.exe
"AVM IGD CTRL Service" (IGDCTRL) - "AVM Berlin" - E:\Systools\Fritz.box\IGDCTRL.EXE
"B's Recorder GOLD Library General Service" (bgsvcgen) - "B.H.A Corporation" - C:\WINDOWS\system32\bgsvcgen.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira Operations GmbH & Co. KG" - E:\Systools\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
und ASWMBR:
Code:
ATTFilter
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-09 01:55:00
-----------------------------
01:55:00.531    OS Version: Windows 5.1.2600 Service Pack 3
01:55:00.531    Number of processors: 1 586 0x209
01:55:00.531    ComputerName: DESKTOP-BVW  UserName: Dorthonion
01:55:01.265    Initialize success
01:57:31.046    AVAST engine defs: 12030801
01:58:29.296    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
01:58:29.296    Disk 0 Vendor: Maxtor_6E040L0 NAR61HA0 Size: 39205MB BusType: 3
01:58:29.312    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
01:58:29.312    Disk 1 Vendor: WDC_WD3200AAJB-00J3A0 01.03E01 Size: 305245MB BusType: 3
01:58:29.359    Disk 0 MBR read successfully
01:58:29.359    Disk 0 MBR scan
01:58:29.406    Disk 0 unknown MBR code
01:58:29.437    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        39202 MB offset 2048
01:58:29.468    Disk 0 scanning sectors +80287744
01:58:29.562    Disk 0 scanning C:\WINDOWS\system32\drivers
01:58:44.437    Service scanning
01:59:10.546    Modules scanning
01:59:30.031    Disk 0 trace - called modules:
01:59:30.062    ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys vsflt53.sys hal.dll ACPI.sys atapi.sys intelide.sys PCIIDEX.SYS 
01:59:30.062    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86762ab8]
01:59:30.062    3 CLASSPNP.SYS[f788efd7] -> nt!IofCallDriver -> [0x8677c9e0]
01:59:30.062    5 vsflt53.sys[f77c5c2b] -> nt!IofCallDriver -> \Device\0000005d[0x867e94d8]
01:59:30.078    7 ACPI.sys[f77e4620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x867e95f0]
01:59:30.500    AVAST engine scan C:\WINDOWS
02:00:03.250    AVAST engine scan C:\WINDOWS\system32
02:06:39.812    AVAST engine scan C:\WINDOWS\system32\drivers
02:07:19.750    AVAST engine scan C:\Dokumente und Einstellungen\Dorthonion
02:12:58.968    AVAST engine scan C:\Dokumente und Einstellungen\All Users
02:15:16.921    Scan finished successfully
02:17:54.328    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Dorthonion\Desktop\MBR.dat"
02:17:54.343    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Dorthonion\Desktop\aswMBR.txt"
         

Antwort

Themen zu Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht
administrator, adobe, antivir, avira, bonjour, desktop, dll, einstellungen, email, explorer, firefox, installation, java-update, mozilla, neu aufsetzen, pdf, programme, rundll, scan, schutz, svchost, system, trojaner, trojaner ransom, viren, windows, windows xp



Ähnliche Themen: Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht


  1. Exploit.Java.CVE-2011-3544.jy + Weitere Viren?
    Log-Analyse und Auswertung - 20.12.2012 (34)
  2. Java/Exploit.CVE-2011-3544.BR trojan
    Log-Analyse und Auswertung - 28.11.2012 (14)
  3. Exp/cve-2011-3544
    Log-Analyse und Auswertung - 15.10.2012 (1)
  4. Exploits EXP/CVE-2011-3544.BU von Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (37)
  5. Laptop befallen von: Exploit.Java.cve-2011-3544.ji, Was tun?
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (12)
  6. Exploits EXP/CVE-2011-3544.CF - Ist alles weg?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (2)
  7. Trojanerfund EXP/2011-3544.BY & TR/Ransom.Ej.13 & W32/Parite.BadClean.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (6)
  8. Avira Fund EXP/2011-3544.CQ.1
    Log-Analyse und Auswertung - 27.05.2012 (22)
  9. Panda Cloud AntiVirus PRo findet zwei Exploit CVE-2011-3544 Trojaner
    Log-Analyse und Auswertung - 17.05.2012 (20)
  10. Exp/2011-3544.hh
    Log-Analyse und Auswertung - 26.04.2012 (1)
  11. Trojaner Exploit.Java.CVE-2011-3544.jh & Virus P2P-Worm.Win23.Palevo.nzl
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (5)
  12. EXP/2011-3544.BU.1 mittels Avira AntiVir gefunden
    Log-Analyse und Auswertung - 19.03.2012 (8)
  13. tr/crypt.Xpack.gen8,Tr/Psw.zbot.924,EXP/Cve-2011-3544,TR/startPage.eo.1,EXP/Blacole.DU
    Plagegeister aller Art und deren Bekämpfung - 01.03.2012 (28)
  14. Avira Fund EXP/CVE-2011-3544 & TR/Crypt.ULPM.Gen
    Log-Analyse und Auswertung - 24.02.2012 (22)
  15. 2 Viren gefunden (Exploit) - EXP/CVE-2011-3544.E und EXP/CVE-2011-3544.J
    Plagegeister aller Art und deren Bekämpfung - 20.02.2012 (30)
  16. exploit.java.cve-2011-3544 irreparabel
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (23)
  17. EXP/2011-3544.AK und EXP/2010-0840.CN
    Plagegeister aller Art und deren Bekämpfung - 29.01.2012 (4)

Zum Thema Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht - Zunächst mal: "Danke an dieses Forum!" Ich sehe, wie viel freundliche Arbeit hier geleistet wird, Kudos! Leider habe ich auch ein Problem. Am 1.3. meldete Avira (Premium '12) das Auftauchen - Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht...
Archiv
Du betrachtest: Trojaner Ransom EJ 28 & PSW Zbot Y 876 & EXP/2011-3544.BU.1 zusammen aufgetaucht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.