Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.11.2012, 19:37   #1
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Icon32

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Hallo,

vorweg - ich bin eine absolute PC-Nerdin, habe keine bis wenig Ahnung und bin schon froh, die "Vorarbeiten" in Form der Scans etc. hinbekommen zu haben.

Deshalb schon vorweg Sorry, wenn ich Nachfragen stelle, die bei Kennern Schenkelklopfer erzeugen.

Ich verwende Vista.

Mein Problem:
Angefangen hat es mit einem langsamer werdenden PC, Seiten ließen sich aufrufen, die Ladezeiten wurden aber immer länger.

Plötzlich poppte ein Fenster auf mit dem Hinweis, das System sei angegriffen, ich möge ein Tool erwerben, mit dem man das Problem beheben kann. Habe ich natürlich nicht getan, nichts angeklickt, dann öffneten sich plötzlich 20 oder 30 Fenster mit einem neuen Hinweis auf das Systemproblem. Ich habe diese Fenster manuell geschlossen, den Rechner runtergefahren, neu gestartet und - da kamen die Fenster wieder.

Mittlerweile habe ich den Rechner im abgesicherten Modus wieder hochgefahren, versucht, ihn zurück zu setzen (System auf alten Zeitpunkt zurückstellen), aber nur mit mittelmäßigem Erfolg. Diese 1000 Fenster poppen nicht mehr auf, aber die Geschwindigkeit ist immer noch ätzend langsam.

Durchlauf von Malwarebytes im abgesicherten Zustand (logfile liegt vor, ich kann das anhängen, wenn nötig), keine Problembesserung.

Der Rechner weist momentan folgendes an:
1. Malwarebytes meldet Fehler mit den Prozessen svchost.exe und explorer.exe
2. CPU-Auslastung bei 100% (besonders hohe Werte bei explorer.exe und ixplore.exe, dazu jede Menge .exe - Dateien mit jeder Menge Buchstaben und Zahlen, was früher NIE der Fall war)
3. Desktop ist leergefegt, die Kacheln sind bis auf den Internet explorer und den Firefox-Icon verschwunden.
4. Entsprechend dem leeren Desktop, auf dem ne Menge lag, sind die Dateien fort. Auch unter Dokumente, Dateien und Bilder abgelegte Dateien sind WEG. Ich kann demnach wichtige Sachen nicht mehr aufrufen, eine Sicherung habe ich, Dummkopf, natürlich nicht. Jaja, ich weiß, das muss sich ändern.

AAAAAAber: Der Speicherstand der Festplatte hat sich nicht verändert. Der Prozentsatz des freien bzw. belegten Speicherplatztes ist der gleiche wie vor dem Dilemma, nur, dass die Balkengrafik plötzlich weiß unterlegt ist statt schwarz. Vermutlich ist das was "im Hintergrund", irgendwie versteckt oder so.


Hier die Auswertungen:

OTL logfile created on: 12.11.2012 18:05:11 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Blumingdales\Desktop
Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,93 Gb Total Physical Memory | 1,01 Gb Available Physical Memory | 52,13% Memory free
4,10 Gb Paging File | 2,86 Gb Available in Paging File | 69,82% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69,65 Gb Total Space | 17,35 Gb Free Space | 24,91% Space Free | Partition Type: NTFS
Drive D: | 69,64 Gb Total Space | 62,73 Gb Free Space | 90,08% Space Free | Partition Type: NTFS

Computer Name: BLUMINGDALES-PC | User Name: Blumingdales | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.11.12 18:04:42 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Blumingdales\Desktop\OTL.exe
PRC - [2012.11.10 22:11:37 | 000,204,800 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Users\BLUMIN~1\AppData\Local\Temp\RtkBtMnt.exe
PRC - [2012.10.30 14:57:32 | 000,084,256 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.10.30 14:54:44 | 000,108,320 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.10.30 14:54:42 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.10.16 13:02:04 | 001,111,432 | ---- | M] (Spigot, Inc.) -- C:\Programme\Common Files\Spigot\Search Settings\SearchSettings.exe
PRC - [2012.10.09 15:44:44 | 000,799,112 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
PRC - [2012.09.29 19:54:26 | 000,766,536 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.09.19 18:20:40 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.01.04 12:32:36 | 000,718,888 | ---- | M] (Nokia) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe
PRC - [2012.01.04 12:32:18 | 000,173,096 | ---- | M] (Nokia) -- C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
PRC - [2012.01.04 12:32:06 | 000,148,520 | ---- | M] (Nokia) -- C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
PRC - [2010.12.10 18:30:50 | 000,086,880 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
PRC - [2010.12.10 18:29:30 | 029,293,408 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
PRC - [2010.12.10 18:29:30 | 000,238,944 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
PRC - [2009.04.10 22:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.04.10 22:27:30 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2008.09.03 08:52:12 | 000,536,576 | ---- | M] () -- C:\Windows\Samsung\PanelMgr\SSMMgr.exe
PRC - [2008.08.01 09:51:42 | 000,405,504 | ---- | M] (Acer Inc.) -- C:\Programme\Acer\Empowering Technology\ePower\ePower_DMC.exe
PRC - [2008.07.25 04:48:08 | 000,875,016 | ---- | M] (Dritek System Inc.) -- C:\Programme\Launch Manager\LManager.exe
PRC - [2008.05.21 03:06:00 | 006,144,000 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2008.03.21 13:22:52 | 000,024,576 | ---- | M] () -- C:\Programme\Acer\Empowering Technology\Service\ETService.exe
PRC - [2008.01.21 03:35:20 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008.01.21 03:35:20 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2007.12.06 16:15:28 | 000,110,592 | -H-- | M] () -- C:\Acer\Mobility Center\MobilityService.exe
PRC - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) -- C:\Programme\Common Files\Protexis\License Service\PsiService_2.exe
PRC - [2007.01.04 19:48:50 | 000,112,152 | ---- | M] (InterVideo) -- C:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe


========== Modules (No Company Name) ==========

MOD - [2012.06.15 20:07:47 | 000,212,992 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\8bbcd31ecc8edc7d1f9cdd83ef2bb2d3\System.ServiceProcess.ni.dll
MOD - [2012.06.15 20:02:56 | 012,433,920 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\f2691cfa7671cdc58179e56ba9227591\System.Windows.Forms.ni.dll
MOD - [2012.06.15 20:02:46 | 001,592,320 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\18f9789aa214c657113e676b3a9015aa\System.Drawing.ni.dll
MOD - [2012.05.14 21:30:50 | 000,771,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\846b9cf2756fdd15f704c9bab9c70b6f\System.Runtime.Remoting.ni.dll
MOD - [2012.05.13 20:24:22 | 007,953,408 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\28d633338fc8d29f8af31935ef7d001b\System.ni.dll
MOD - [2012.05.13 20:24:10 | 011,492,352 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\af9c9e9d7e0523cd444f8b551baa9cbf\mscorlib.ni.dll
MOD - [2010.07.15 02:00:29 | 000,034,816 | ---- | M] () -- C:\Programme\Google\Google Desktop Search\gzlib.dll
MOD - [2009.02.04 07:27:27 | 000,036,864 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\Framework.Utility\3.0.3006.0__4df5dcab8860d239\Framework.Utility.dll
MOD - [2009.02.04 07:27:26 | 000,061,440 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\Framework.Library\3.0.3006.0__3036420f80dd6947\Framework.Library.dll
MOD - [2009.02.04 07:27:26 | 000,020,480 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\Framework.Model.ControllerInterface\3.0.3006.0__d842b71b4d6ed079\Framework.Model.ControllerInterface.dll
MOD - [2008.09.03 08:52:12 | 000,536,576 | ---- | M] () -- C:\Windows\Samsung\PanelMgr\SSMMgr.exe
MOD - [2008.04.04 03:00:58 | 000,003,072 | ---- | M] () -- C:\Programme\NewTech Infosystems\NTI Backup Now 5\BkupTrayLOC.dll
MOD - [2003.06.07 22:30:08 | 000,057,344 | ---- | M] () -- C:\Programme\Launch Manager\PowerUtl.dll


========== Services (SafeList) ==========

SRV - [2012.10.30 14:57:32 | 000,084,256 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.10.30 14:54:44 | 000,108,320 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.10.09 15:44:44 | 000,799,112 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2012.10.09 09:04:31 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.06.09 16:52:01 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.01.04 12:32:36 | 000,718,888 | ---- | M] (Nokia) [On_Demand | Running] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2010.12.10 18:30:50 | 000,086,880 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)
SRV - [2010.12.10 18:29:30 | 029,293,408 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -- (MSSQL$MSSMLBIZ)
SRV - [2010.12.10 18:29:30 | 000,238,944 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser)
SRV - [2010.12.10 18:29:30 | 000,044,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper)
SRV - [2008.03.21 13:22:52 | 000,024,576 | ---- | M] () [Auto | Running] -- C:\Programme\Acer\Empowering Technology\Service\ETService.exe -- (ETService)
SRV - [2008.01.21 03:35:20 | 000,896,512 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2008.01.21 03:33:00 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007.12.06 16:15:28 | 000,110,592 | -H-- | M] () [Auto | Running] -- C:\Acer\Mobility Center\MobilityService.exe -- (MobilityService)
SRV - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- C:\Programme\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
SRV - [2007.01.04 19:48:50 | 000,112,152 | ---- | M] (InterVideo) [Auto | Running] -- C:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - [2012.10.30 14:57:54 | 000,133,824 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.09.29 19:54:26 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.09.24 08:58:11 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.09.13 09:58:17 | 000,083,792 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2011.11.01 09:07:26 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011.11.01 09:07:26 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011.11.01 09:07:26 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011.11.01 09:07:24 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2009.09.05 13:25:36 | 001,183,744 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2008.08.26 08:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.06.30 14:52:26 | 000,112,128 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\IntcHdmi.sys -- (IntcHdmiAddService)
DRV - [2008.05.26 11:54:28 | 000,081,704 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSVD.sys -- (WSVD)
DRV - [2008.03.21 10:48:24 | 000,015,392 | ---- | M] (Acer, Inc.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\int15.sys -- (int15)
DRV - [2008.01.10 02:34:43 | 000,005,120 | ---- | M] (Samsung Electronics) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\SSPORT.SYS -- (SSPORT)
DRV - [2008.01.10 02:34:42 | 000,041,984 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\DGIVECP.SYS -- (DgiVecp)
DRV - [2007.12.26 07:23:10 | 000,017,968 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TpChoice.sys -- (TpChoice)
DRV - [2007.04.17 20:09:28 | 000,011,032 | ---- | M] (InterVideo) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\regi.sys -- (regi)
DRV - [2007.03.12 10:12:00 | 000,256,000 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WUSB54GCx86.sys -- (netr73)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vb32&d=0209&m=extensa_5230
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vb32&d=0209&m=extensa_5230
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XP&ptnrS=XP&ptb=54ECE3F6-4BBE-4031-80EC-0D025BBBDF2F&psa=&ind=2012070217&st=sb&n=77edc149&searchfor={searchTerms}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.web.de/br/ie9_startpage
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\6.5\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = {14CBC693-44BB-4649-80CD-D1E8A2E0C19D}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{09038620-190C-402B-A92F-18864E6AB22F}: "URL" = hxxp://go.1und1.de/br/ie9_search_web/?su={searchTerms}
IE - HKCU\..\SearchScopes\{14CBC693-44BB-4649-80CD-D1E8A2E0C19D}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}
IE - HKCU\..\SearchScopes\{40064957-18EB-412d-9146-3F57E8D92EEC}: "URL" = hxxp://go.web.de/br/ie9_search_pic/?su={searchTerms}
IE - HKCU\..\SearchScopes\{41D6E5D6-04D8-4C1C-B9C3-EE02F8BBDEF5}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{5A817CF6-92D5-4DE5-AC38-82DF8A73EF28}: "URL" = hxxp://go.gmx.net/br/ie9_search_web/?su={searchTerms}
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_de
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rlz=1I7ACAW_de&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\..\SearchScopes\{6B1D1FB7-7233-4F7C-802C-21A1DDB12754}: "URL" = hxxp://go.web.de/br/ie9_search_web/?su={searchTerms}
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = hxxp://127.0.0.1:4664/search&s=3wZU2C7QnuTjG4ila-6a4Iv9HuM?q={searchTerms}
IE - HKCU\..\SearchScopes\{88B4614B-03C9-4423-B104-B2409DB58387}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{8D27B32E-89EE-460e-82D2-5FC354078EAD}: "URL" = hxxp://go.web.de/br/ie9_search_produkte/?su={searchTerms}
IE - HKCU\..\SearchScopes\{9235F61D-1C93-4528-84FC-B28B807FC2C0}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XP&ptnrS=XP&ptb=54ECE3F6-4BBE-4031-80EC-0D025BBBDF2F&psa=&ind=2012070217&st=sb&n=77edc149&searchfor={searchTerms}
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=8c302e47-c9e5-437a-8b45-55ebcb9c01d4&apn_sauid=2B891517-C53C-4F1B-AA3F-736FBE98A349
IE - HKCU\..\SearchScopes\{DCE59F23-A446-45a5-9459-E68FDC0DE38D}: "URL" = hxxp://go.web.de/br/ie9_search_maps/?su={searchTerms}
IE - HKCU\..\SearchScopes\{FEADA0E9-12FC-4FA2-BD8F-05D57AD3FADD}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1


========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8051.1204: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Users\Blumingdales\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.06.09 16:52:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\te_9.0@nokia.com: C:\Program Files\Nokia\Nokia Suite\Connectors\Thunderbird Connector\ThunderbirdExtension_9.0 [2012.04.23 16:16:08 | 000,000,000 | ---D | M]

[2012.08.29 14:05:05 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.08.29 14:05:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}
[2012.06.09 16:52:01 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.03.13 06:23:34 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.13 06:06:36 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.03.13 06:23:34 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.13 06:23:34 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.13 06:23:34 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.13 06:23:34 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (WEB.DE Konfiguration) - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\ProgramData\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\partner.dll (Google Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\6.5\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (WEB.DE Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\6.5\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ePower_DMC] C:\Programme\Acer\Empowering Technology\ePower\ePower_DMC.exe (Acer Inc.)
O4 - HKLM..\Run: [eRecoveryService] File not found
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe (Nokia)
O4 - HKCU..\Run: [sLikgmxVxLSYT.exe] C:\ProgramData\sLikgmxVxLSYT.exe File not found
O4 - HKCU..\Run: [sPapIT4abUXrTw] C:\ProgramData\sPapIT4abUXrTw.exe File not found
O4 - HKCU..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)
O16 - DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} hxxp://kitchenplanner.ikea.com/DE/Core/Player/2020PlayerAX_IKEA_Win32.cab (20-20 3D Viewer for IKEA)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 10.5.0)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 1.7.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.7.0_05)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6E8DE73D-5D21-430E-A48C-F71A32140DA7}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)
O18 - Protocol\Handler\webde {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Blumingdales\AppData\Roaming\Microsoft\Windows Live Photo Gallery\Windows Live Fotogalerie-Hintergrundbild.jpg
O24 - Desktop BackupWallPaper: C:\Users\Blumingdales\AppData\Roaming\Microsoft\Windows Live Photo Gallery\Windows Live Fotogalerie-Hintergrundbild.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.11.12 18:04:33 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Blumingdales\Desktop\OTL.exe
[2012.11.10 21:56:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.11.10 21:56:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.11.10 21:56:45 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.11.10 21:56:44 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.11.10 21:44:46 | 000,000,000 | -H-D | C] -- C:\Users\Blumingdales\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\File Restore
[2012.11.07 18:06:41 | 000,000,000 | -H-D | C] -- C:\Users\Blumingdales\Desktop\Bew weg ausdrucken
[2012.11.02 09:46:04 | 000,000,000 | -H-D | C] -- C:\Users\Blumingdales\Option
[2012.10.22 13:19:37 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot
[2012.10.22 13:19:37 | 000,000,000 | ---D | C] -- C:\Program Files\pdfforge Toolbar
[2012.10.22 13:19:37 | 000,000,000 | ---D | C] -- C:\Program Files\Application Updater
[2012.10.22 13:19:13 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.10.22 13:19:13 | 000,000,000 | -HSD | C] -- \Config.Msi
[2012.10.17 22:54:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012.10.17 22:54:39 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012.10.17 22:54:38 | 000,133,824 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012.10.17 22:54:38 | 000,083,792 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.10.17 22:54:38 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.10.17 22:54:36 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012.10.17 09:07:46 | 000,000,000 | -H-D | C] -- C:\Users\Blumingdales\AppData\Local\DoNotTrackPlus
[2012.10.17 08:58:55 | 000,000,000 | -H-D | C] -- C:\ProgramData\Avira
[2012.10.14 19:47:33 | 000,000,000 | -H-D | C] -- C:\Users\Blumingdales\Documents\My Weblog Posts
[2012.10.14 11:54:06 | 000,000,000 | -H-D | C] -- C:\Users\Blumingdales\Desktop\Eichhörnchen
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.11.12 18:06:29 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.11.12 18:04:42 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Blumingdales\Desktop\OTL.exe
[2012.11.12 18:02:18 | 000,050,477 | ---- | M] () -- C:\Users\Blumingdales\Desktop\Defogger.exe
[2012.11.12 18:01:59 | 000,000,000 | ---- | M] () -- C:\Users\Blumingdales\defogger_reenable
[2012.11.12 18:01:01 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.11.12 16:48:43 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.11.12 16:28:12 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.11.12 16:28:12 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.11.12 16:28:07 | 000,000,000 | ---- | M] () -- C:\Windows\System32\LogConfigTemp.xml
[2012.11.12 16:27:34 | 000,067,584 | ---- | M] () -- C:\Windows\bootstat.dat
[2012.11.12 16:27:27 | 2072,879,104 | -HS- | M] () -- C:\hiberfil.sys
[2012.11.12 15:17:48 | 000,397,440 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.11.12 15:14:03 | 000,685,962 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.11.12 15:14:03 | 000,642,954 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.11.12 15:14:03 | 000,150,230 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.11.12 15:14:03 | 000,121,842 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.11.10 21:56:48 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.11.10 21:44:46 | 000,000,609 | -H-- | M] () -- C:\Users\Blumingdales\Desktop\File_Restore.lnk
[2012.11.10 21:44:46 | 000,000,368 | -H-- | M] () -- C:\ProgramData\sPapIT4abUXrTw
[2012.11.10 21:44:46 | 000,000,160 | -H-- | M] () -- C:\ProgramData\-sPapIT4abUXrTwr
[2012.11.10 21:44:46 | 000,000,144 | -H-- | M] () -- C:\ProgramData\-sPapIT4abUXrTw
[2012.11.09 11:57:45 | 000,103,424 | -H-- | M] () -- C:\Users\Blumingdales\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.10.30 14:57:54 | 000,133,824 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.11.12 18:01:59 | 000,000,000 | ---- | C] () -- C:\Users\Blumingdales\defogger_reenable
[2012.11.12 18:01:18 | 000,050,477 | ---- | C] () -- C:\Users\Blumingdales\Desktop\Defogger.exe
[2012.11.12 16:27:27 | 2072,879,104 | -HS- | C] () -- C:\hiberfil.sys
[2012.11.12 16:27:27 | 2072,879,104 | -HS- | C] () -- \hiberfil.sys
[2012.11.10 21:56:48 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.11.10 21:44:46 | 000,000,609 | -H-- | C] () -- C:\Users\Blumingdales\Desktop\File_Restore.lnk
[2012.11.10 21:44:46 | 000,000,160 | -H-- | C] () -- C:\ProgramData\-sPapIT4abUXrTwr
[2012.11.10 21:44:46 | 000,000,144 | -H-- | C] () -- C:\ProgramData\-sPapIT4abUXrTw
[2012.11.10 21:44:43 | 000,000,368 | -H-- | C] () -- C:\ProgramData\sPapIT4abUXrTw
[2012.10.04 14:00:23 | 083,023,306 | -H-- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2011.12.07 23:21:08 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.09.07 11:41:53 | 000,027,009 | -H-- | C] () -- C:\Users\Blumingdales\Weckgläser.jpg
[2010.08.22 17:22:30 | 000,031,744 | -H-- | C] () -- C:\Users\Blumingdales\photothumb.db
[2010.08.08 12:03:40 | 000,235,529 | -H-- | C] () -- C:\Users\Blumingdales\Fahndungsfoto.jpg
[2010.05.03 11:50:36 | 000,000,680 | -H-- | C] () -- C:\Users\Blumingdales\AppData\Local\d3d9caps.dat
[2010.04.23 08:28:36 | 000,377,422 | -H-- | C] () -- C:\Users\Blumingdales\fcb_scfreiburg_130310_049.jpg
[2010.03.20 23:04:23 | 000,113,582 | -H-- | C] () -- C:\Users\Blumingdales\Petra Warhol.jpg
[2010.01.08 14:16:06 | 000,042,166 | -H-- | C] () -- C:\Users\Blumingdales\Duesseldorfer_Tabelle_Stand_01_01_2010.pdf
[2009.12.29 23:20:12 | 000,029,250 | -H-- | C] () -- C:\Users\Blumingdales\Andi.jpg
[2009.12.15 14:30:22 | 000,188,210 | -H-- | C] () -- C:\Users\Blumingdales\CIMG2132.JPG
[2009.12.15 14:29:32 | 000,180,071 | -H-- | C] () -- C:\Users\Blumingdales\CIMG2129.JPG
[2009.05.28 07:21:48 | 000,103,424 | -H-- | C] () -- C:\Users\Blumingdales\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.05.28 06:46:52 | 000,000,952 | -HS- | C] () -- C:\ProgramData\KGyGaAvL.sys
[2009.02.21 23:38:25 | 000,009,800 | -HS- | C] () -- \Patch.rev
[2009.01.17 13:18:02 | 000,234,256 | RH-- | C] () -- C:\Users\Blumingdales\Blum-Petra.jpg
[2008.05.14 08:36:01 | 000,000,149 | RHS- | C] () -- \preload.rev
[2008.02.11 00:31:30 | 000,333,257 | RHS- | C] () -- \bootmgr
[2008.02.11 00:31:30 | 000,008,192 | R-S- | C] () -- \BOOTSECT.BAK
[2006.11.02 11:23:09 | 000,000,024 | ---- | C] () -- \autoexec.bat
[2006.11.02 07:25:08 | 000,000,010 | ---- | C] () -- \config.sys

========== ZeroAccess Check ==========

[2006.11.02 13:51:16 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.10 22:28:20 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.10 22:28:26 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

========== LOP Check ==========


========== Purity Check ==========



< End of report >




OTL Extras logfile created on: 12.11.2012 18:05:11 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Blumingdales\Desktop
Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,93 Gb Total Physical Memory | 1,01 Gb Available Physical Memory | 52,13% Memory free
4,10 Gb Paging File | 2,86 Gb Available in Paging File | 69,82% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69,65 Gb Total Space | 17,35 Gb Free Space | 24,91% Space Free | Partition Type: NTFS
Drive D: | 69,64 Gb Total Space | 62,73 Gb Free Space | 90,08% Space Free | Partition Type: NTFS

Computer Name: BLUMINGDALES-PC | User Name: Blumingdales | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{04E61A8E-A903-4186-850A-EE9D083ECC32}" = rport=137 | protocol=17 | dir=out | app=system |
"{09FBF399-440A-4474-B33C-22366211F85C}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{15A63583-B4BF-4830-AB29-FE272CE27934}" = lport=2869 | protocol=6 | dir=in | app=system |
"{198C684F-3188-40FE-9200-50E4C34C6A00}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{1F20DDCF-7353-46DE-A46D-51AB98801EBE}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{21559262-2328-4644-93B9-9555EBF9284C}" = rport=2869 | protocol=6 | dir=out | app=system |
"{432ED8D2-5BA4-48E6-842D-C185CA562F6C}" = lport=137 | protocol=17 | dir=in | app=system |
"{585C7A70-7FCC-4C12-B965-DB2879FA25DE}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{5D1F35F0-1916-4F44-B7F8-6AE9E4E271DE}" = lport=139 | protocol=6 | dir=in | app=system |
"{6698B331-D859-4E85-873A-F695E34580A1}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{72684360-640A-45E6-BF0C-276F1C4B8160}" = rport=445 | protocol=6 | dir=out | app=system |
"{7965733E-8CAB-4F05-9AA9-1CD279F5E988}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe |
"{8AD6F251-8638-4298-93AC-C39A3FCC1C4A}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{8D169296-5549-422D-9BB0-80B9FD6F6166}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{96882539-6B20-4D83-90A3-154E6473ED77}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{A07987DF-27C3-4B9E-A02D-AB95B9EACBDC}" = lport=2869 | protocol=6 | dir=in | app=system |
"{A945831A-D803-4E03-93AD-D768C9B67EB4}" = rport=138 | protocol=17 | dir=out | app=system |
"{B3CC8F2A-73B2-4FFF-8A4B-FECA1B40693D}" = rport=139 | protocol=6 | dir=out | app=system |
"{B85A1EB5-3A1A-4153-92DC-0EEF92281362}" = lport=138 | protocol=17 | dir=in | app=system |
"{BAB4EEE3-2159-41D2-BC2B-408B19E1098C}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{BD74066E-E8FC-4610-9722-BED54A225C6C}" = lport=445 | protocol=6 | dir=in | app=system |
"{BF01269B-1251-48E0-B0BA-59725DD03312}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{C9C4ABDA-98D7-4669-A073-63BA356E3CB1}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{D03EAF4C-8FC0-461D-B7ED-FCDF3929A549}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{D1A8D5A5-F1E9-4442-972C-3E853493E14C}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{D6C767E2-1F43-4D33-A7F1-FEFCDD2B5BCD}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{E0D4DAD0-D10A-47D6-A504-841A85E30A7C}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{E27CD2C5-AE60-46DC-9C2A-D82F2068F6BD}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1CFB5543-9579-454D-A67F-33BA7217AC67}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe |
"{26BB53AA-1884-403E-9457-0B7E5DA17081}" = protocol=17 | dir=in | app=c:\program files\opera\pluginwrapper\opera_plugin_wrapper.exe |
"{32F41ECD-B82E-4344-8CBD-B5CCE8889CE4}" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe |
"{35CD9B53-F41F-4188-85D8-F22E852F3985}" = protocol=6 | dir=in | app=c:\program files\opera\pluginwrapper\opera_plugin_wrapper.exe |
"{4410388A-1B13-44A9-9FAE-B1ED1209E215}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{55FCCB13-6D82-4572-89FA-6907263F2091}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{6B94A52E-8B2A-47F6-A845-1E05359A5F60}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe |
"{7AFB57DC-1D69-4E8C-A4ED-64B9FF256C69}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{7B47F041-A26A-43D7-AD63-06C1D60C6B03}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 |
"{87882A12-A902-4CE1-9E98-A639C8D049CB}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe |
"{87F80ABC-89E1-4407-96B0-293783E1EE3D}" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe |
"{8D9A18FD-2299-4601-B5CA-433FC8ED2EAA}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{96A9CA58-C23C-4517-857C-0C45DF0B0D7E}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe |
"{A1FD5F5C-8762-4A0D-BA55-20D21E6CE635}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe |
"{A6C8D545-45D7-475D-8F81-277E90F76070}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{AF7C34B6-39ED-4C30-9B26-0CD0995F44DD}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe |
"{C9387E37-0C6B-4AD3-A8A8-DB3AF423FA5E}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe |
"{D3E2CA37-6A3D-4F64-AF68-E71A05F06C3F}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{D4B46A77-1927-46D8-A19F-51C91DBE7160}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{DA72A539-AEC0-4387-968F-F2E8783FCB98}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{DC1CF00A-95B2-445B-88D7-B92736B4FB15}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe |
"{E5091BDF-FDCE-47C5-B4D0-0BBBDCCB1AF2}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{FDAE9AB7-45CF-4FDD-863B-CA335A9A12AD}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"TCP Query User{15DA6B39-96B6-4E05-B976-895B47673FE5}C:\program files\common files\nokia\service layer\a\nsl_host_process.exe" = protocol=6 | dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe |
"TCP Query User{27E5B3E9-B94A-4352-A34B-3A17F2F28FCD}C:\program files\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files\internet explorer\iexplore.exe |
"TCP Query User{45E3CCAA-4D2C-40A5-93B9-CD12E80FCEF0}C:\program files\nokia\nokia ovi suite\nokiaovisuite.exe" = protocol=6 | dir=in | app=c:\program files\nokia\nokia ovi suite\nokiaovisuite.exe |
"TCP Query User{589CDFFE-2502-447B-8F2F-F9275FD1D796}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"TCP Query User{9AB18AFF-D96B-4D5E-834E-ACB49922714A}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe |
"UDP Query User{0A3B0D5F-751A-46FC-B605-0422E224D96B}C:\program files\nokia\nokia ovi suite\nokiaovisuite.exe" = protocol=17 | dir=in | app=c:\program files\nokia\nokia ovi suite\nokiaovisuite.exe |
"UDP Query User{2957033E-2050-401F-BFF6-459F36048018}C:\program files\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files\internet explorer\iexplore.exe |
"UDP Query User{6D6CB523-1E6B-4804-A03E-3CC60289EA70}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe |
"UDP Query User{717A76DD-FA52-426E-806D-9399589D0841}C:\program files\common files\nokia\service layer\a\nsl_host_process.exe" = protocol=17 | dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe |
"UDP Query User{E39C3FB0-3E7D-40A1-A912-0CC90383C158}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{11316260-6666-467B-AC34-183FCB5D4335}" = Acer Mobility Center Plug-In
"{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now Standard
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"{169917C4-4A77-45F4-B20E-860703FD5E6F}" = pdfforge Toolbar v6.5
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java(TM) 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java(TM) 7 Update 5
"{2C5927BD-3F65-4207-8FB5-8EDF638A3511}_is1" = SmartPCFixer 4.2
"{2EA870FA-585F-4187-903D-CB9FFD21E2E0}" = DHTML Editing Component
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4AA68A73-DB9C-439D-9481-981C82BD008B}" = Nokia Connectivity Cable Driver
"{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}" = Junk Mail filter update
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management
"{5A166C0B-9557-4364-A057-F946D674E6AC}" = Windows Live Mail
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5FEBF468-5AC2-4C66-AD80-DF85C085AA73}" = InterVideo WinDVD 8
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}" = Windows Live Fotogalerie
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6F7EA6CA-79F4-44A0-A370-8E82BB16534A}" = NTI Shadow
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{78156F61-016D-402A-9EF9-C2AA253DB22A}" = FocalFilter
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
"{81821BF8-DA20-4F8C-AA87-F70A274828D4}" = Windows Live Writer
"{835686C5-8650-49EB-8CA0-4528B4035495}" = Windows Live Call
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8C1E2925-14F8-45AA-B999-1E2A74BF5607}" = Windows Live Sync
"{8F1B6239-FEA0-450A-A950-B05276CE177C}" = Acer Empowering Technology
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{92D1CEBC-7C72-4ECF-BFC6-C131EF3FE6A7}" = Nokia Suite
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A2AA4204-C05A-4013-888A-AD153139297F}" = PC Connectivity Solution
"{A64A5576-D862-44F8-89DC-2B17FCC9B86E}" = Broadcom Gigabit Integrated Controller
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.2 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{CC4BBCBA-89F6-47C3-9B0F-5CE5BB1C316C}" = WEB.DE Toolbar MSVC100 CRT x86
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe 1.4.142.1
"{DF5F687F-8018-4542-9F98-7084E9022917}" = Windows Live Essentials
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F46E21DF-5BE1-48E2-8390-5EEA8B25E36A}" = Microsoft SQL Server Native Client
"{F69E83CF-B440-43F8-89E6-6EA80712109B}" = Windows Live Communications Platform
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FDE96E86-7780-431C-92F7-679C6A7CEC51}" = Microsoft SQL Server VSS Writer
"{FE700C65-2A78-44A4-AEBC-D98A6E8C5316}" = WinFam 6.8a Trial
"1&1 Mail & Media GmbH 1und1InternetExplorerAddon" = WEB.DE Internet Explorer Addon
"1&1 Mail & Media GmbH 1und1Softwareaktualisierung" = WEB.DE Softwareaktualisierung
"1&1 Mail & Media GmbH Toolbar IE8" = WEB.DE Toolbar für Internet Explorer
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"AudibleManager" = AudibleManager
"Avira AntiVir Desktop" = Avira Free Antivirus
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Free Studio_is1" = Free Studio version 4.2
"Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.1
"Google Desktop" = Google Desktop
"GridVista" = Acer GridVista
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now 5
"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"InstallShield_{5FEBF468-5AC2-4C66-AD80-DF85C085AA73}" = InterVideo WinDVD 8
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"InstallShield_{6F7EA6CA-79F4-44A0-A370-8E82BB16534A}" = NTI Shadow
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Nokia Suite" = Nokia Suite
"PhotoScape" = PhotoScape
"Samsung ML-1640 Series" = Samsung ML-1640 Series
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"WinLiveSuite_Wave3" = Windows Live Essentials

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 12.11.2012 08:49:47 | Computer Name = Blumingdales-PC | Source = EventSystem | ID = 4609
Description =

Error - 12.11.2012 08:50:40 | Computer Name = Blumingdales-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.11.2012 08:56:18 | Computer Name = Blumingdales-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung CompileMOF.exe, Version 3.0.2000.0, Zeitstempel
0x474a325e, fehlerhaftes Modul CompileMOF.exe, Version 3.0.2000.0, Zeitstempel
0x474a325e, Ausnahmecode 0xc000000d, Fehleroffset 0x00002a7f, Prozess-ID 0x538, Anwendungsstartzeit
01cdc0d51b323ec2.

Error - 12.11.2012 08:57:25 | Computer Name = Blumingdales-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.11.2012 09:49:08 | Computer Name = BLUMINGDALES-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung CompileMOF.exe, Version 3.0.2000.0, Zeitstempel
0x474a325e, fehlerhaftes Modul CompileMOF.exe, Version 3.0.2000.0, Zeitstempel
0x474a325e, Ausnahmecode 0xc000000d, Fehleroffset 0x00002a7f, Prozess-ID 0x50c, Anwendungsstartzeit
01cdc0dc7c5d7cfb.

Error - 12.11.2012 09:50:31 | Computer Name = Blumingdales-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.11.2012 10:18:16 | Computer Name = Blumingdales-PC | Source = EventSystem | ID = 4609
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.11.2012 11:27:49 | Computer Name = Blumingdales-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung CompileMOF.exe, Version 3.0.2000.0, Zeitstempel
0x474a325e, fehlerhaftes Modul CompileMOF.exe, Version 3.0.2000.0, Zeitstempel
0x474a325e, Ausnahmecode 0xc000000d, Fehleroffset 0x00002a7f, Prozess-ID 0x5b8, Anwendungsstartzeit
01cdc0ea45a21ad5.

Error - 12.11.2012 11:29:10 | Computer Name = Blumingdales-PC | Source = WinMgmt | ID = 10
Description =

[ OSession Events ]
Error - 09.08.2012 14:05:46 | Computer Name = Blumingdales-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6661.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 12
seconds with 0 seconds of active time. This session ended with a crash.

[ System Events ]
Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7026
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 10:18:58 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7001
Description =

Error - 12.11.2012 11:29:12 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7000
Description =

Error - 12.11.2012 11:29:12 | Computer Name = Blumingdales-PC | Source = Service Control Manager | ID = 7000
Description =


< End of report >



GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-12 19:09:36
Windows 6.0.6002 Service Pack 2
Running: Gmer.exe; Driver: C:\Users\BLUMIN~1\AppData\Local\Temp\kxkyruog.sys


---- Files - GMER 1.0.15 ----

File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\51EF1SQI\background_gradient[1] 453 bytes
File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\51EF1SQI\errorPageStrings[1] 2352 bytes
File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H1DUDP2I\httpErrorPagesScripts[1] 5573 bytes
File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KRXCK7NA\info_48[1] 6993 bytes
File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KRXCK7NA\navcancl[1] 2753 bytes
File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MJUTALBC\bullet[1] 3169 bytes
File C:\Users\Blumingdales\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MJUTALBC\ErrorPageTemplate[1] 2168 bytes

---- EOF - GMER 1.0.15 ----



Ich hoffe, Ihr könnt mir helfen und ich komme mit Euren Tips klar.

Vorab schon mal 1000000000 Dank, denn ich brauche einige der Dateien ganz ganz dringend.

Alt 12.11.2012, 19:43   #2
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



hi
lade unhide:
http://www.trojaner-board.de/125889-...en-posten.html
__________________

__________________

Alt 12.11.2012, 20:41   #3
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Hallo, vielen vielen vielen Dank schon mal für Schritt 1, der hat geklappt. Alles wieder da und die Sicherung erfolgt morgen. Spart Herzinfarkte...

Hier die Avira und Malware - Auswertungen:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 12. November 2012 20:14


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Basic
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BLUMINGDALES-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.2735 48280 Bytes 26.10.2012 10:11:00
AVSCAN.EXE : 13.4.0.235 637728 Bytes 30.10.2012 13:54:54
AVSCANRC.DLL : 13.4.0.219 64800 Bytes 30.10.2012 13:54:54
LUKE.DLL : 13.4.0.232 67360 Bytes 30.10.2012 13:57:30
AVSCPLR.DLL : 13.4.0.232 93984 Bytes 30.10.2012 13:58:00
AVREG.DLL : 13.4.0.232 245536 Bytes 30.10.2012 13:57:57
avlode.dll : 13.4.0.240 426272 Bytes 29.10.2012 12:55:40
avlode.rdf : 13.0.0.24 7196 Bytes 27.09.2012 09:30:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 21:57:23
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 21:57:24
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 21:57:25
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 21:57:26
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 21:57:26
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 21:57:26
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 21:57:27
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 21:57:34
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 20:46:43
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 12:17:11
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 20:59:59
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 13:53:16
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 12:23:57
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 19:38:02
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 13:54:10
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 07:05:46
VBASE023.VDF : 7.11.48.209 142848 Bytes 05.11.2012 06:50:27
VBASE024.VDF : 7.11.48.243 119296 Bytes 05.11.2012 08:53:10
VBASE025.VDF : 7.11.49.47 136704 Bytes 07.11.2012 07:33:03
VBASE026.VDF : 7.11.49.135 194560 Bytes 09.11.2012 13:14:43
VBASE027.VDF : 7.11.49.136 2048 Bytes 09.11.2012 13:14:43
VBASE028.VDF : 7.11.49.137 2048 Bytes 09.11.2012 13:14:43
VBASE029.VDF : 7.11.49.138 2048 Bytes 09.11.2012 13:14:43
VBASE030.VDF : 7.11.49.139 2048 Bytes 09.11.2012 13:14:44
VBASE031.VDF : 7.11.49.204 166400 Bytes 12.11.2012 13:19:56
Engineversion : 8.2.10.198
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.66 463227 Bytes 12.11.2012 13:22:03
AESCN.DLL : 8.1.9.2 131444 Bytes 26.09.2012 13:54:07
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 07.11.2012 13:34:13
AEPACK.DLL : 8.3.0.40 815479 Bytes 12.11.2012 13:21:55
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 18:51:21
AEHEUR.DLL : 8.1.4.132 5489016 Bytes 12.11.2012 13:21:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 17.10.2012 21:57:49
AEGEN.DLL : 8.1.6.8 434548 Bytes 07.11.2012 13:33:14
AEEXP.DLL : 8.2.0.10 119158 Bytes 05.11.2012 18:51:27
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.29.2 201079 Bytes 07.11.2012 13:33:09
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 18:50:30
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.163 50464 Bytes 19.09.2012 17:07:51
AVREP.DLL : 13.4.0.214 179240 Bytes 30.10.2012 13:57:59
AVARKT.DLL : 13.4.0.232 260384 Bytes 30.10.2012 13:54:15
AVEVTLOG.DLL : 13.4.0.232 167200 Bytes 30.10.2012 13:54:37
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.163 15648 Bytes 19.09.2012 17:16:26
RCIMAGE.DLL : 13.4.0.163 4780832 Bytes 19.09.2012 17:21:16
RCTEXT.DLL : 13.4.0.163 68384 Bytes 19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 12. November 2012 20:14

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf wurde abgebrochen!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'updrgui.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclMSBTSrvEx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePower_DMC.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'BkupTray.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPFFontCache_v0400.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupSvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'Agentsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht


Ende des Suchlaufs: Montag, 12. November 2012 20:21
Benötigte Zeit: 06:50 Minute(n)

Der Suchlauf wurde abgebrochen!

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
26983 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden




Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.12.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Blumingdales :: BLUMINGDALES-PC [Administrator]

Schutz: Deaktiviert

12.11.2012 20:28:37
mbam-log-2012-11-12 (20-28-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 194582
Laufzeit: 8 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)



Vielen Dank
Helftmir
__________________

Alt 13.11.2012, 17:53   #4
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



also du möchtest daten sichern und neu aufsetzen? oder verstehe ich deinen letzten post falsch :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.11.2012, 20:29   #5
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Ähm,
eigentlich wollte ich unter fachkundiger Anleitung fixen und nicht neu aufsetzen. Das kann ich nämlich auch nicht wirklich, keine Ahnung, was ich mit den 1000 CDs anfangen soll, die sich stapeln. Einfach der Reihe nach einlegen oder wie?

Mit "morgen sichere ich" meinte ich, dass ich ab sofort auf vernünftige Datensicherungen achten werde, damit mir, für den Fall, dass wieder mal was abschmiert oder die Festplatte im Eimer ist, nicht wieder das Herz in die Hose rutscht, weil ich denke, alles sei weg.


Deshalb BITTE, wenns keine Umstände macht - wie komme ich weiter?


Alt 13.11.2012, 20:40   #6
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



hi
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
__________________
--> Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%

Alt 13.11.2012, 22:51   #7
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Hallo Markus,

danke, ich habe das Tool downgeloaded, aber es lässt sich trotz mehrer Versuche nicht starten. Auch Löschen, Neustart des Rechners und Neudownload und danach ausführen als Administrator haben nichts gebracht.

Antivir hatte ich während der Versuche ausgeschaltet.


Alt 14.11.2012, 00:19   #8
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



hi,
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.11.2012, 02:40   #9
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Hallo Markus,

hier die Log-Datei des Combo-Fix-Scans:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-11-13.02 - Blumingdales 14.11.2012   1:40.1.1 - x86
Microsoft® Windows Vista™ Home Basic   6.0.6002.2.1252.49.1031.18.1976.1075 [GMT 1:00]
ausgeführt von:: c:\users\Blumingdales\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\TelevisionFanatic
c:\program files\TelevisionFanatic\bar\gen1\COMMON.T8S
c:\program files\TelevisionFanatic\bar\IE9Mesg\COMMON.T8S
c:\program files\TelevisionFanatic\bar\Message\COMMON.T8S
c:\program files\TelevisionFanatic\bar\Settings\s_pid.dat
c:\programdata\dsgsdgdsgdsgw.pad
c:\users\Blumingdales\AppData\Roaming\Desktopicon
c:\users\Blumingdales\AppData\Roaming\Desktopicon\eBay.ico
c:\users\Blumingdales\AppData\Roaming\Desktopicon\uninst.exe
c:\users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\64ffxtbr@TelevisionFanatic.com
c:\users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\64ffxtbr@TelevisionFanatic.com\chrome.manifest
c:\users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\64ffxtbr@TelevisionFanatic.com\chrome\64ffxtbr.jar
c:\users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\64ffxtbr@TelevisionFanatic.com\install.rdf
c:\users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\64ffxtbr@TelevisionFanatic.com\installKeys.js
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\Temp\log.txt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-10-14 bis 2012-11-14  ))))))))))))))))))))))))))))))
.
.
2012-11-14 01:15 . 2012-11-14 01:15	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-11-10 20:57 . 2012-11-10 20:57	--------	d-----w-	c:\users\Blumingdales\AppData\Roaming\Malwarebytes
2012-11-10 20:56 . 2012-11-10 20:56	--------	d-----w-	c:\programdata\Malwarebytes
2012-11-10 20:56 . 2012-09-29 18:54	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-11-10 20:56 . 2012-11-10 20:56	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-11-02 08:46 . 2012-11-02 08:46	--------	d-----w-	c:\users\Blumingdales\Option
2012-10-22 12:19 . 2012-10-22 12:19	--------	d-----w-	c:\program files\Application Updater
2012-10-22 12:19 . 2012-10-22 12:19	--------	d-----w-	c:\program files\pdfforge Toolbar
2012-10-22 12:19 . 2012-10-22 12:19	--------	d-----w-	c:\program files\Common Files\Spigot
2012-10-17 22:00 . 2012-10-17 22:00	--------	d-----w-	c:\users\Blumingdales\AppData\Roaming\Avira
2012-10-17 21:54 . 2012-10-30 13:57	133824	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-10-17 21:54 . 2012-09-24 07:58	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-10-17 21:54 . 2012-09-13 08:58	83792	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-10-17 21:54 . 2012-10-17 21:54	--------	d-----w-	c:\program files\Avira
2012-10-17 08:07 . 2012-10-17 08:07	--------	d-----w-	c:\users\Blumingdales\AppData\Local\DoNotTrackPlus
2012-10-17 07:58 . 2012-10-17 21:54	--------	d-----w-	c:\programdata\Avira
2012-10-17 06:59 . 2012-08-30 08:17	6980552	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{209E8788-C23B-4CA8-9EB5-420890ECFBFE}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-09 08:04 . 2012-08-08 12:30	696760	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-10-09 08:04 . 2011-06-07 20:08	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-13 13:28 . 2012-10-10 21:16	2048	----a-w-	c:\windows\system32\tzres.dll
2012-08-29 11:27 . 2012-10-10 21:13	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-08-29 11:27 . 2012-10-10 21:13	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-08-24 15:53 . 2012-10-10 21:16	172544	----a-w-	c:\windows\system32\wintrust.dll
2012-08-24 06:59 . 2012-09-23 01:01	1800704	----a-w-	c:\windows\system32\jscript9.dll
2012-08-24 06:51 . 2012-09-23 01:01	1129472	----a-w-	c:\windows\system32\wininet.dll
2012-08-24 06:51 . 2012-09-23 01:01	1427968	----a-w-	c:\windows\system32\inetcpl.cpl
2012-08-24 06:47 . 2012-09-23 01:01	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2012-08-24 06:47 . 2012-09-23 01:01	420864	----a-w-	c:\windows\system32\vbscript.dll
2012-08-24 06:43 . 2012-09-23 01:01	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2012-06-09 15:52 . 2012-04-08 10:31	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{17166733-40EA-4432-A85C-AE672FF0E236}]
2011-05-11 15:38	154216	----a-w-	c:\programdata\1und1InternetExplorerAddon\BHOXML.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2009-05-27 18:37	157168	----a-w-	c:\programdata\Partner\partner.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-10 2153472]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-02-22 1037608]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-07-25 875016]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-07-15 30192]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-10-30 384800]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
FocalFilterHelper.lnk - c:\program files\FocalFilter\FocalFilterHelper.exe [2012-9-3 176640]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-11 19:00	919008	----a-r-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-07-31 11:20	38872	----a-w-	c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray]
2008-04-06 21:42	34040	----a-w-	c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
2008-08-01 08:51	405504	----a-w-	c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2012-02-01 07:11	1083264	----a-w-	c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-05-21 02:06	6144000	----a-w-	c:\windows\RtHDVCpl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2008-09-03 07:52	536576	----a-w-	c:\windows\Samsung\PanelMgr\SSMMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
2012-10-16 12:02	1111432	----a-w-	c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-08 08:04]
.
2012-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-08 08:42]
.
2012-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-08 08:42]
.
2010-12-17 c:\windows\Tasks\User_Feed_Synchronization-{10D5B110-57B9-4DFE-AA8E-9C27E317C80E}.job
- c:\windows\system32\msfeedssync.exe [2011-04-26 21:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vb32&d=0209&m=extensa_5230
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
Handler: webde - {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - c:\program files\WEB.DE Toolbar\IE\uitb.dll
FF - ProfilePath - c:\users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=827316&p=
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-eRecoveryService - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-logontn - c:\users\Blumingdales\AppData\Roaming\logontn.exe
MSConfigStartUp-sLikgmxVxLSYT - c:\programdata\sLikgmxVxLSYT.exe
MSConfigStartUp-sPapIT4abUXrTw - c:\programdata\sPapIT4abUXrTw.exe
MSConfigStartUp-SysFxUI - c:\users\Blumingdales\AppData\Local\Microsoft\Windows\1367\SysFxUI.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-14 02:16
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-11-14  02:34:10
ComboFix-quarantined-files.txt  2012-11-14 01:33
.
Vor Suchlauf: 12 Verzeichnis(se), 19.258.306.560 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 20.724.940.800 Bytes frei
.
- - End Of File - - 74874DCD9D5D8F8EFFBBDFB2333E863E
         
--- --- ---




Böhmische Dörfer für mich, ich bewundere Euch, dass Ihr mit diesem Sammelsurium von Buchstaben und Zahlen etwas anfangen (und auch noch helfen) könnt.

Danke
Petra

Alt 14.11.2012, 16:27   #10
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



hi, schaun wir mal, wir müssen noch ein wenig entrümpeln, hoffe der pc läuft dann wieder wie gehabt.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.24.1850
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 25.11.2012, 12:53   #11
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Hallo Markus,

ich war ein paar Tage unterwegs, daher erst heute meine Antwort:

Hier die Liste:

Acer Empowering Technology Acer Incorporated 04.02.2009 45,7MB 3.0.3006 ----- unbekannt
Acer ePower Management Acer Incorporated 21.02.2009 9,82MB 3.0.3014 ----- unbekannt
Acer eRecovery Management Acer Incorporated 21.02.2009 27,5MB 3.0.3014 ----- unbekannt
Acer GridVista 12.11.2012 1,51MB 2.72.317 ----- unbekannt
Acer Mobility Center Plug-In Acer Inc. 04.02.2009 4,12MB 3.0.3000 ----- unbekannt
Acer ScreenSaver Acer Incorporated 21.02.2009 3.11.0606 ----- unbekannt
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 12.11.2012 11.4.402.287 ----- notwendig
Adobe Reader 9.5.2 - Deutsch Adobe Systems Incorporated 21.08.2012 118MB 9.5.2 ----- notwendig
Apple Application Support Apple Inc. 08.12.2010 52,7MB 1.4.1 ----- unbekannt
Apple Software Update Apple Inc. 29.08.2012 2,38MB 2.1.3.127 ----- nicht notwendig
AudibleManager Audible, Inc. 12.11.2012 9,19MB 358565497.-2.2005430390.2005429404 ----- notwenidg
Avira Free Antivirus Avira 14.11.2012 196MB 13.0.0.2761 ----- notwendig
Broadcom Gigabit Integrated Controller Broadcom Corporation 14.05.2008 1,00MB 11.11.03 ----- unbekannt
CCleaner Piriform 24.10.2012 4,93MB 3.24 --- notwendig
DHTML Editing Component Microsoft Corporation 04.08.2009 462KB 6.02.0001 ----- unbekannt
DivX Codec DivX, Inc. 12.11.2012 1,31MB 6.8.5 ----- unbekannt
DivX Converter DivX, Inc. 12.11.2012 45,3MB 7.1.0 ----- unbekannt
DivX Player DivX, Inc. 12.11.2012 8,43MB 7.2.0 ----- unbekannt
DivX Plus DirectShow Filters DivX, Inc. 12.11.2012 1,58MB ----- unbekannt
DivX Web Player DivX,Inc. 12.11.2012 2,83MB 1.5.0 ----- unbekannt
eSobi v2 esobi Inc. 21.02.2009 16,8MB 2.0.3.000201 ----- unbekannt
FocalFilter FocalFilter 29.09.2012 564KB 0.9.00 ----- unbekannt
Free Studio version 4.2 DVDVideoSoft Limited. 28.10.2009 65,4MB ----- unbekannt
Free YouTube to Mp3 Converter version 3.1 DVDVideoSoft Limited. 19.07.2009 2,20MB --- notwendig
Google Desktop Google 12.11.2012 30,2MB 5.9.1005.12335 ----- unbekannt
Google Earth Google 21.11.2011 92,7MB 6.1.0.5001 ---- notwendig
Intel(R) Graphics Media Accelerator Driver Intel Corporation 12.11.2012 ----- unbekannt
InterVideo WinDVD 8 Ihr Firmenname 21.02.2009 114MB 8.5-B0.74 ----- unbekannt
Java(TM) 6 Update 30 Oracle 29.08.2012 95,1MB 6.0.300 ---- notwendig
Java(TM) 7 Update 5 Oracle 15.08.2012 99,3MB 7.0.50 ---- oder der hier notwendig?????
JavaFX 2.1.1 Oracle Corporation 15.08.2012 20,8MB 2.1.1 ----- unbekannt
Launch Manager 12.11.2012 3,30MB ----- unbekannt
Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation 10.11.2012 12,7MB 1.65.1.1000 ----- wohl notwendig
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 12.11.2012 36,9MB ----- unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 12.11.2012 36,9MB ----- unbekannt
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 12.11.2012 120MB 4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 12.11.2012 24,5MB 4.0.30319----- unbekannt
Microsoft Office File Validation Add-In Microsoft Corporation 04.03.2012 7,95MB 14.0.5130.5003 ----- unbekannt
Microsoft Office Home and Student 2007 Microsoft Corporation 12.11.2012 294MB 12.0.6612.1000 ----- notwendig
Microsoft Office Live Add-in 1.5 Microsoft Corporation 01.08.2012 506KB 2.0.4024.1 ----- unbekannt
Microsoft Office Suite Activation Assistant Microsoft Corporation 21.02.2009 8,36MB 2.9 ----- unbekannt
Microsoft SQL Server 2005 Microsoft Corporation 12.11.2012 42,6MB ----- unbekannt
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 04.02.2009 1,74MB 3.1.0000 ----- unbekannt
Microsoft SQL Server Native Client Microsoft Corporation 26.03.2011 2,63MB 9.00.5000.00 ----- unbekannt
Microsoft SQL Server VSS Writer Microsoft Corporation 26.03.2011 699KB 9.00.5000.00----- unbekannt
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 25.01.2010 250KB 8.0.50727.4053 ----- unbekannt
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 25.01.2010 199KB 9.0.30729.4148 ----- unbekannt
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 16.04.2011 592KB 9.0.30729.5570 ----- unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 03.06.2009 590KB 9.0.30729 ----- unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 22.06.2011 594KB 9.0.30729.6161 ----- unbekannt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 28.10.2011 16,5MB 10.0.40219 ----- unbekannt
Move Media Player Move Networks 31.03.2010 ----- unbekannt
Mozilla Firefox 12.0 (x86 de) Mozilla 12.11.2012 36,9MB 12.0 --- notwendig
Mozilla Maintenance Service Mozilla 12.11.2012 216KB 12.0 ----- unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 04.02.2009 1,28MB 4.20.9870.0 ----- unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 26.11.2009 1,34MB 4.20.9876.0 ----- unbekannt
Nokia Connectivity Cable Driver Nokia 23.04.2012 3,34MB 7.1.69.0 --- notwendig
Nokia Suite Nokia 12.11.2012 129MB 3.3.89.0 --- notwendig
NTI Backup Now 5 NewTech Infosystems 04.02.2009 28,6MB 5.1.2.503 ----- unbekannt
NTI Media Maker 8 NewTech Infosystems 04.02.2009 181MB 8.0.2.6322 ----- unbekannt
NTI Shadow NewTech Infosystems 04.02.2009 7,33MB 3.7.6.37 ----- unbekannt
PC Connectivity Solution Nokia 23.04.2012 14,7MB 11.5.29.0 ----- unbekannt
PDFCreator Frank Heindörfer, Philip Chinery 07.12.2011 32,1MB 1.2.3 --- notwendig
pdfforge Toolbar v6.5 Spigot, Inc. 22.10.2012 17,1MB 6.5 ----- unbekannt
PhotoScape 12.11.2012 25,8MB --- notwendig
QuickTime Apple Inc. 08.12.2010 73,7MB 7.69.80.9 --- nicht notwendig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 21.02.2009 21,7MB 6.0.1.5628 ----- unbekannt
Samsung ML-1640 Series Samsung Electronics CO.,LTD 12.11.2012 67,5MB --- notwendig
SmartPCFixer 4.2 LionSea Software 21.08.2012 21,8MB 4.2 ----- unbekannt
Spelling Dictionaries Support For Adobe Reader 9 Adobe Systems Incorporated 22.06.2009 29,6MB 9.0.0 ----- unbekannt
Synaptics Pointing Device Driver Synaptics 12.11.2012 14,3MB 11.0.2.0 ----- unbekannt
Turbo Lister 2 eBay 04.08.2009 31,4MB 2.0.0 --- nicht notwendig
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) Microsoft Corporation 26.03.2011 23,2MB 9.00.5000.00 ----- unbekannt
WEB.DE Internet Explorer Addon 1&1 Mail & Media GmbH 22.06.2011 504KB 1.0.1.0 ----- unbekannt
WEB.DE Softwareaktualisierung 1&1 Mail & Media GmbH 24.06.2011 1,53MB 2.0.1.5 ----- unbekannt
WEB.DE Toolbar für Internet Explorer 1&1 Mail & Media GmbH 04.04.2012 2,35MB 1.7.2.0 ----- unbekannt
Windows Live Anmelde-Assistent Microsoft Corporation 25.01.2010 1,93MB 5.000.818.6 ----- unbekannt
Windows Live Essentials Microsoft Corporation 12.11.2012 136MB 14.0.8050.1202 ----- unbekannt
Windows Live Sync Microsoft Corporation 04.02.2009 2,79MB 14.0.8050.1202 ----- unbekannt
Windows Live-Uploadtool Microsoft Corporation 04.02.2009 225KB 14.0.8014.1029 ----- unbekannt
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) Nokia 12.11.2012 08/22/2008 7.0.0.0 ----- unbekannt
WinFam 6.8a Trial C. H. Beck 05.09.2012 34,5MB 6.8.1 --- notwendig


Ich hoffe, das hilft Dir.

Vielen Dank abermals
Helftmir

Alt 27.11.2012, 17:00   #12
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
DivX : alle
Free Studio
Google Desktop
Java: alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
pdfforge
SmartPCFixer
Spelling
WEB.DE : alle
Windows Live : alle von dir nicht benutzten.

öffne CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste
    mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.11.2012, 23:52   #13
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Hallo Markus,

ich habe alles, was Du vorgeschlagen hast, der Reihe nach ausgeführt und jede Menge Kram vom Rechner geschmissen.

Trotzdem läuft der Rechner noch immer grottig langsam sprich nahezu permanent auf 100% CPU-Auslastung, ok, ein bißchen besser ist es geworden, aber nicht wirklich viel. Allein die downloads dauerten ewig, vor allem die Acrobat-Downloads.

Auffällig finde ich nach wie vor, dass - im Gegensatz zu "früher" - jede Menge Prozesse laufen. Ich habe früher schon ab und an mal den Task Manager bemüht, wenn sich der Rechner, was selten vorkam, mal aufgehängt hatte, da liefen übersichtliche 5-6 Prozesse, jetzt sind es immer Pi mal Daumen 20 oder mehr. Extrem hohe Zahlen und CPU-Lastanteile weisen explorer.exe und iexplore.exe auf. Auffällig finde ich auch jede Menge von igfxext.exe und andere igfx... . exe-Modul-Prozesse. Solche sind mir vor dem Gau überhaupt nie aufgefallen, das wären sie, weil sie alle ähnlich klingen.

Hat das was zu bedeuten? Sind das Rückstände von Eingenistetem?

Hier die der letzte Logfile:

# AdwCleaner v2.009 - Datei am 28/11/2012 um 23:36:16 erstellt
# Aktualisiert am 24/11/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Benutzer : Blumingdales - BLUMINGDALES-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Blumingdales\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Program Files\Mozilla Firefox\.autoreg
Datei Gefunden : C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Datei Gefunden : C:\Users\Blumingdales\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk
Datei Gefunden : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\searchplugins\11-suche.xml
Datei Gefunden : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\searchplugins\Askcom.xml
Ordner Gefunden : C:\ProgramData\Partner
Ordner Gefunden : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\staged
Ordner Gefunden : C:\Users\Blumingdales\AppData\Roaming\pdfforge

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\kt_bho.KettleBho
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\kt_bho.KettleBho.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{03119103-0854-469D-807A-171568457991}
Schlüssel Gefunden : HKLM\Software\Iminent
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Schlüssel Gefunden : HKLM\SOFTWARE\Software

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v12.0 (de)

Profilname : default
Datei : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\prefs.js

Gefunden : user_pref("browser.search.defaultengine", "Ask.com");
Gefunden : user_pref("browser.search.order.1", "Ask.com");
Gefunden : user_pref("browser.startup.homepage", "hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale[...]

*************************

AdwCleaner[R1].txt - [2517 octets] - [28/11/2012 23:36:16]

########## EOF - C:\AdwCleaner[R1].txt - [2577 octets] ##########




Vielen Dank

Alt 29.11.2012, 16:21   #14
markusg
/// Malware-holic
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige
    jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die
    Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
neustarten, ccleaner, extras, Autostart liste, iextrahieren und inhalt posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.11.2012, 16:52   #15
Helftmir
 
Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Standard

Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%



Huhu,

schon erledigt. Hier die Auswertungen:

# AdwCleaner v2.009 - Datei am 29/11/2012 um 16:34:36 erstellt
# Aktualisiert am 24/11/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Benutzer : Blumingdales - BLUMINGDALES-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Blumingdales\Desktop\Trojanerboard-Kits\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files\Mozilla Firefox\.autoreg
Datei Gelöscht : C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Datei Gelöscht : C:\Users\Blumingdales\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk
Datei Gelöscht : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\searchplugins\11-suche.xml
Datei Gelöscht : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\searchplugins\Askcom.xml
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Users\Blumingdales\AppData\Roaming\Mozilla\Firefox\Profiles\3j38rg9p.default\extensions\staged
Ordner Gelöscht : C:\Users\Blumingdales\AppData\Roaming\pdfforge

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\kt_bho.KettleBho
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\kt_bho.KettleBho.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{03119103-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\Software\Iminent
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Schlüssel Gelöscht : HKLM\SOFTWARE\Software

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v12.0 (de)



und



Nein HKCU:Run NokiaSuite.exe Nokia C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe -tray
Ja HKCU:Run WindowsWelcomeCenter Microsoft Corporation rundll32.exe oobefldr.dll,ShowWelcomeCenter
Ja HKCU:Run WMPNSCFG Microsoft Corporation C:\Program Files\Windows Media Player\WMPNSCFG.exe
Ja HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Nein HKLM:Run Adobe Reader Speed Launcher "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Ja HKLM:Run avgnt Avira Operations GmbH & Co. KG "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
Nein HKLM:Run BkupTray NewTech Infosystems, Inc "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
Nein HKLM:Run ePower_DMC Acer Inc. C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
Nein HKLM:Run Google Desktop Search "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
Ja HKLM:Run HotKeysCmds Intel Corporation C:\Windows\system32\hkcmd.exe
Ja HKLM:Run IgfxTray Intel Corporation C:\Windows\system32\igfxtray.exe
Ja HKLM:Run LManager Dritek System Inc. C:\PROGRA~1\LAUNCH~1\LManager.exe
Ja HKLM:Run Persistence Intel Corporation C:\Windows\system32\igfxpers.exe
Nein HKLM:Run QuickTime Task "C:\Program Files\QuickTime\QTTask.exe" -atboottime
Nein HKLM:Run RtHDVCpl Realtek Semiconductor RtHDVCpl.exe
Nein HKLM:Run Samsung PanelMgr C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
Ja HKLM:Run SunJavaUpdateSched Sun Microsystems, Inc. "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
Ja HKLM:Run SynTPEnh Synaptics, Inc. C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Nein Startup Common FocalFilterHelper.lnk Microsoft C:\PROGRA~1\FOCALF~1\FOCALF~2.EXE

Antwort

Themen zu Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%
antivir, aufrufe, avira, bho, desktop, dringend, error, festplatte, flash player, google, home, hängen, iexplore.exe, install.exe, intranet, kacheln, launch, logfile, mozilla, mp3, office 2007, origin, pdfforge toolbar, plug-in, problem, realtek, registry, security, senden, server, smartpcfixer, software, svchost.exe, system, vista, wenig ahnung, wrapper



Ähnliche Themen: Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%


  1. Sehe keine desktop icons mehr
    Plagegeister aller Art und deren Bekämpfung - 20.06.2013 (21)
  2. Sehe keine desktop icons mehr
    Mülltonne - 17.06.2013 (0)
  3. Desktop-Icons, Taskleiste - alles weg nach Updates
    Alles rund um Windows - 28.01.2013 (6)
  4. Nach Windows unlocker Desktop icons weg..
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (29)
  5. #Nach Virus keine Icons auf dem Desktop mehr!
    Plagegeister aller Art und deren Bekämpfung - 17.06.2012 (30)
  6. Icons auf dem Desktop verschwinden gleich nach Start
    Log-Analyse und Auswertung - 12.04.2012 (13)
  7. Nach Virus keine Icons auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 12.12.2011 (26)
  8. Das Ablegen von Icons auf dem desktop ist nicht möglich
    Log-Analyse und Auswertung - 20.06.2011 (1)
  9. Desktop Icons unsichtbar, Festplattenfehlermeldung, Mehrere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.05.2011 (22)
  10. Icons und Bilder verschwunden, fakealert, realplay.exe
    Log-Analyse und Auswertung - 04.05.2011 (26)
  11. Taskleiste & Desktop Icons verschwunden und Firefoxprobleme
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (15)
  12. Icons und Dateien auf dem Desktop sind teilweise weg!
    Plagegeister aller Art und deren Bekämpfung - 20.05.2008 (47)
  13. Desktop icons nach Xleaner verschwunden!
    Alles rund um Windows - 13.06.2007 (3)
  14. Desktop voler Icons
    Antiviren-, Firewall- und andere Schutzprogramme - 14.05.2007 (6)
  15. Desktop-Icons schwer zu aktivieren
    Plagegeister aller Art und deren Bekämpfung - 11.12.2006 (20)
  16. Seltsame Desktop Icons..
    Log-Analyse und Auswertung - 23.08.2006 (3)
  17. Desktop icons!
    Alles rund um Windows - 23.05.2005 (4)

Zum Thema Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% - Hallo, vorweg - ich bin eine absolute PC-Nerdin, habe keine bis wenig Ahnung und bin schon froh, die "Vorarbeiten" in Form der Scans etc. hinbekommen zu haben. Deshalb schon vorweg - Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100%...
Archiv
Du betrachtest: Am Anfang war der FakeAlert, dann versteckte Desktop-Icons und nun CPU 100% auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.