Trojanerbeseitigung - Google Suchergebnisse werden umgeleitet

gtdaexl · 20.11.2012, 09:20

Morgen ryder,

habs gestern Abend nochmal probiert, auch im abgesicherten Mod mit Netzwerktreibern friert mir die Kiste reproduzierbar nach ca 15 Minuten ein.

Bin schon gespannt auf die härteren Mittel...

Grüße,

Tom

ryder · 20.11.2012, 11:00

Das kommt mir alles ein wenig komisch vor, ich muss noch etwas tiefer graben ...

Schritt 1:
Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:
Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.

Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.

Wenn der Scan beendet wurde (Finished), klicke auf OK.

Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"

Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.

Klicke auf Scan.

Warte bitte bis Scan finished successfully im DOS Fenster steht.

Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 3:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
Starte die TDSSKiller.exe

Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.

Drücke Start Scan

Warnung:
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Schritt 4:
Scan mit GMER

Bitte
alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,

keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),

nichts am Rechner arbeiten,

nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen
Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.

Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.

Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Entferne rechts den Haken bei:
IAT/EAT

Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)

Show all (sollte abgehackt sein)

Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

gtdaexl · 20.11.2012, 12:52

Hallo zurück. hat ganz schön lange gerattert.

Hier die ganze Litanei:

Defogger:

HTML-Code:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:05 on 20/11/2012 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

ASWMBR

Code:

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-20 11:07:21
-----------------------------
11:07:21.697    OS Version: Windows 5.1.2600 Service Pack 3
11:07:21.697    Number of processors: 2 586 0xF02
11:07:21.697    ComputerName: SERVICE1  UserName: 
11:07:22.585    Initialize success
11:11:03.154    AVAST engine defs: 12111901
11:11:27.181    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-e
11:11:27.181    Disk 0 Vendor: Hitachi_HTS541680J9SA00 SB2AC7MP Size: 76319MB BusType: 3
11:11:27.212    Disk 0 MBR read successfully
11:11:27.212    Disk 0 MBR scan
11:11:27.275    Disk 0 Windows XP default MBR code
11:11:27.275    Disk 0 Partition 1 00     EE          GPT               200 MB offset 1
11:11:27.306    Disk 0 Partition 2 00     AF   HFS / HFS+             37760 MB offset 409640
11:11:27.322    Disk 0 Partition 3 80 (A) 07    HPFS/NTFS NTFS        38231 MB offset 78004264
11:11:27.337    Disk 0 scanning sectors +156301448
11:11:27.649    Disk 0 scanning C:\WINDOWS\system32\drivers
11:11:38.182    Service scanning
11:11:55.851    Modules scanning
11:12:04.671    Disk 0 trace - called modules:
11:12:04.702    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
11:12:04.702    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85f75ab8]
11:12:04.702    3 CLASSPNP.SYS[f74ebfd7] -> nt!IofCallDriver -> \Device\00000064[0x85f7b9e8]
11:12:04.702    5 ACPI.sys[f7361620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T1L0-e[0x85f79940]
11:12:06.696    AVAST engine scan C:\WINDOWS
11:12:33.263    AVAST engine scan C:\WINDOWS\system32
11:15:26.758    AVAST engine scan C:\WINDOWS\system32\drivers
11:15:40.394    AVAST engine scan C:\Dokumente und Einstellungen\Administrator.SYSTEMLOGISTIK
11:16:39.366    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:16:48.529    Scan finished successfully
11:17:04.457    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator.SYSTEMLOGISTIK\Desktop\MBR.dat"
11:17:04.457    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator.SYSTEMLOGISTIK\Desktop\aswMBR.txt"

ASW hat auch noch einen MBR gesaved, was mach ich mit der Datei?

TDSS-Killer:

Code:

ATTFilter

11:17:34.0893 2584  TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
11:17:35.0033 2584  ============================================================
11:17:35.0033 2584  Current date / time: 2012/11/20 11:17:35.0033
11:17:35.0033 2584  SystemInfo:
11:17:35.0033 2584  
11:17:35.0033 2584  OS Version: 5.1.2600 ServicePack: 3.0
11:17:35.0033 2584  Product type: Workstation
11:17:35.0033 2584  ComputerName: SERVICE1
11:17:35.0033 2584  UserName: Administrator
11:17:35.0033 2584  Windows directory: C:\WINDOWS
11:17:35.0033 2584  System windows directory: C:\WINDOWS
11:17:35.0033 2584  Processor architecture: Intel x86
11:17:35.0033 2584  Number of processors: 2
11:17:35.0033 2584  Page size: 0x1000
11:17:35.0033 2584  Boot type: Normal boot
11:17:35.0033 2584  ============================================================
11:17:36.0747 2584  Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
11:17:36.0747 2584  ============================================================
11:17:36.0747 2584  \Device\Harddisk0\DR0:
11:17:36.0747 2584  GPT partitions:
11:17:36.0747 2584  \Device\Harddisk0\DR0\Partition1: GPT, TypeGUID: {C12A7328-F81F-11D2-BA4B-00A0C93EC93B}, UniqueGUID: {00003CCD-2891-0000-3711-0000FC5E0000}, Name: EFI system partition, StartLBA 0x28, BlocksNum 0x64000
11:17:36.0747 2584  \Device\Harddisk0\DR0\Partition2: GPT, TypeGUID: {48465300-0000-11AA-AA11-00306543ECAC}, UniqueGUID: {BE1AE359-BFFE-411A-95EB-82F2C354CCE1}, Name: Customer, StartLBA 0x64028, BlocksNum 0x49C0000
11:17:36.0747 2584  \Device\Harddisk0\DR0\Partition3: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {9C477DCB-3C1D-4E3D-AA3B-3B86EE8B5E78}, Name: Untitled, StartLBA 0x4A64028, BlocksNum 0x4AAB860
11:17:36.0747 2584  MBR partitions:
11:17:36.0747 2584  \Device\Harddisk0\DR0\Partition4: MBR, Type 0x7, StartLBA 0x4A64028, BlocksNum 0x4AAB860
11:17:36.0747 2584  ============================================================
11:17:36.0794 2584  C: <-> \Device\Harddisk0\DR0\Partition4
11:17:36.0794 2584  ============================================================
11:17:36.0794 2584  Initialize success
11:17:36.0794 2584  ============================================================
11:18:05.0625 1736  ============================================================
11:18:05.0625 1736  Scan started
11:18:05.0625 1736  Mode: Manual; TDLFS; 
11:18:05.0625 1736  ============================================================
11:18:05.0921 1736  ================ Scan system memory ========================
11:18:05.0921 1736  System memory - ok
11:18:05.0921 1736  ================ Scan services =============================
11:18:06.0015 1736  Abiosdsk - ok
11:18:06.0015 1736  abp480n5 - ok
11:18:06.0062 1736  [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
11:18:06.0062 1736  ACPI - ok
11:18:06.0077 1736  [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC          C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
11:18:06.0077 1736  ACPIEC - ok
11:18:06.0077 1736  adpu160m - ok
11:18:06.0108 1736  [ 8BED39E3C35D6A489438B8141717A557 ] aec             C:\WINDOWS\system32\drivers\aec.sys
11:18:06.0108 1736  aec - ok
11:18:06.0171 1736  [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD             C:\WINDOWS\System32\drivers\afd.sys
11:18:06.0171 1736  AFD - ok
11:18:06.0171 1736  Aha154x - ok
11:18:06.0186 1736  aic78u2 - ok
11:18:06.0186 1736  aic78xx - ok
11:18:06.0233 1736  [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
11:18:06.0233 1736  Alerter - ok
11:18:06.0249 1736  [ 190CD73D4984F94D823F9444980513E5 ] ALG             C:\WINDOWS\System32\alg.exe
11:18:06.0249 1736  ALG - ok
11:18:06.0249 1736  AliIde - ok
11:18:06.0264 1736  amsint - ok
11:18:06.0373 1736  [ F401929EE0CC92BFE7F15161CA535383 ] Apple Mobile Device C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
11:18:06.0373 1736  Apple Mobile Device - ok
11:18:06.0420 1736  [ 6BB0152196F33E1F6F490EDF48AB1BA9 ] applebt         C:\WINDOWS\system32\DRIVERS\applebt.sys
11:18:06.0420 1736  applebt - ok
11:18:06.0451 1736  [ E1C456F933D27813B46CA4BB2071B947 ] AppleOSSMgr     C:\WINDOWS\system32\AppleOSSMgr.exe
11:18:06.0451 1736  AppleOSSMgr - ok
11:18:06.0482 1736  [ 9C55D327A8A2A8234D43193ADDE2B5F0 ] AppleTimeSrv    C:\WINDOWS\system32\AppleTimeSrv.exe
11:18:06.0482 1736  AppleTimeSrv - ok
11:18:06.0529 1736  [ D45960BE52C3C610D361977057F98C54 ] AppMgmt         C:\WINDOWS\System32\appmgmts.dll
11:18:06.0529 1736  AppMgmt - ok
11:18:06.0592 1736  [ 78E15866BEFE8B940046C36BA92F9EB6 ] AR5211          C:\WINDOWS\system32\DRIVERS\ar5211.sys
11:18:06.0607 1736  AR5211 - ok
11:18:06.0654 1736  [ B5B8A80875C1DEDEDA8B02765642C32F ] Arp1394         C:\WINDOWS\system32\DRIVERS\arp1394.sys
11:18:06.0654 1736  Arp1394 - ok
11:18:06.0654 1736  asc - ok
11:18:06.0654 1736  asc3350p - ok
11:18:06.0669 1736  asc3550 - ok
11:18:06.0747 1736  [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
11:18:06.0763 1736  aspnet_state - ok
11:18:06.0779 1736  [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
11:18:06.0779 1736  AsyncMac - ok
11:18:06.0810 1736  [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
11:18:06.0810 1736  atapi - ok
11:18:06.0825 1736  Atdisk - ok
11:18:06.0841 1736  [ 9916C1225104BA14794209CFA8012159 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
11:18:06.0841 1736  Atmarpc - ok
11:18:06.0872 1736  [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
11:18:06.0872 1736  AudioSrv - ok
11:18:06.0903 1736  [ D9F724AA26C010A217C97606B160ED68 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
11:18:06.0903 1736  audstub - ok
11:18:06.0934 1736  [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
11:18:06.0934 1736  Beep - ok
11:18:06.0981 1736  [ D6F603772A789BB3228F310D650B8BD1 ] BITS            C:\WINDOWS\system32\qmgr.dll
11:18:06.0997 1736  BITS - ok
11:18:07.0090 1736  [ DB5BEA73EDAF19AC68B2C0FAD0F92B1A ] Bonjour Service C:\Programme\Bonjour\mDNSResponder.exe
11:18:07.0106 1736  Bonjour Service - ok
11:18:07.0121 1736  [ B71549F23736ADF83A571061C47777FD ] Browser         C:\WINDOWS\System32\browser.dll
11:18:07.0121 1736  Browser - ok
11:18:07.0153 1736  [ B279426E3C0C344893ED78A613A73BDE ] BthEnum         C:\WINDOWS\system32\DRIVERS\BthEnum.sys
11:18:07.0153 1736  BthEnum - ok
11:18:07.0184 1736  [ 8787E193FCEB88F12CE2B1A0BBC3F64E ] BthKicker       C:\WINDOWS\system32\DRIVERS\BthKicker.sys
11:18:07.0184 1736  BthKicker - ok
11:18:07.0215 1736  [ 80602B8746D3738F5886CE3D67EF06B6 ] BthPan          C:\WINDOWS\system32\DRIVERS\bthpan.sys
11:18:07.0215 1736  BthPan - ok
11:18:07.0262 1736  [ 592E1CEDBE314D0EF184DC6F46141E76 ] BTHPORT         C:\WINDOWS\system32\Drivers\BTHport.sys
11:18:07.0262 1736  BTHPORT - ok
11:18:07.0308 1736  [ 26C601EF7525E31379744ABFC6F35A1B ] BthServ         C:\WINDOWS\System32\bthserv.dll
11:18:07.0308 1736  BthServ - ok
11:18:07.0355 1736  [ 61364CD71EF63B0F038B7E9DF00F1EFA ] BTHUSB          C:\WINDOWS\system32\Drivers\BTHUSB.sys
11:18:07.0355 1736  BTHUSB - ok
11:18:07.0433 1736  catchme - ok
11:18:07.0464 1736  [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
11:18:07.0464 1736  cbidf2k - ok
11:18:07.0464 1736  cd20xrnt - ok
11:18:07.0495 1736  [ C1B486A7658353D33A10CC15211A873B ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
11:18:07.0495 1736  Cdaudio - ok
11:18:07.0511 1736  [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
11:18:07.0511 1736  Cdfs - ok
11:18:07.0527 1736  [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
11:18:07.0527 1736  Cdrom - ok
11:18:07.0542 1736  Changer - ok
11:18:07.0573 1736  [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc           C:\WINDOWS\system32\cisvc.exe
11:18:07.0573 1736  CiSvc - ok
11:18:07.0589 1736  [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
11:18:07.0589 1736  ClipSrv - ok
11:18:07.0620 1736  [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
11:18:07.0760 1736  clr_optimization_v2.0.50727_32 - ok
11:18:07.0807 1736  [ C5A75EB48E2344ABDC162BDA79E16841 ] clr_optimization_v4.0.30319_32 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
11:18:07.0807 1736  clr_optimization_v4.0.30319_32 - ok
11:18:07.0823 1736  CmdIde - ok
11:18:07.0823 1736  COMSysApp - ok
11:18:07.0838 1736  Cpqarray - ok
11:18:07.0854 1736  [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
11:18:07.0854 1736  CryptSvc - ok
11:18:07.0869 1736  dac2w2k - ok
11:18:07.0869 1736  dac960nt - ok
11:18:07.0916 1736  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
11:18:07.0932 1736  DcomLaunch - ok
11:18:07.0963 1736  [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
11:18:07.0963 1736  Dhcp - ok
11:18:07.0979 1736  [ 044452051F3E02E7963599FC8F4F3E25 ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
11:18:07.0979 1736  Disk - ok
11:18:07.0979 1736  dmadmin - ok
11:18:08.0041 1736  [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
11:18:08.0041 1736  dmboot - ok
11:18:08.0056 1736  [ 53720AB12B48719D00E327DA470A619A ] dmio            C:\WINDOWS\system32\drivers\dmio.sys
11:18:08.0056 1736  dmio - ok
11:18:08.0072 1736  [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
11:18:08.0072 1736  dmload - ok
11:18:08.0119 1736  [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver        C:\WINDOWS\System32\dmserver.dll
11:18:08.0119 1736  dmserver - ok
11:18:08.0134 1736  [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
11:18:08.0134 1736  DMusic - ok
11:18:08.0166 1736  [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
11:18:08.0166 1736  Dnscache - ok
11:18:08.0212 1736  [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc         C:\WINDOWS\System32\dot3svc.dll
11:18:08.0212 1736  Dot3svc - ok
11:18:08.0212 1736  dpti2o - ok
11:18:08.0259 1736  [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
11:18:08.0259 1736  drmkaud - ok
11:18:08.0275 1736  [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost         C:\WINDOWS\System32\eapsvc.dll
11:18:08.0275 1736  EapHost - ok
11:18:08.0290 1736  [ 877C18558D70587AA7823A1A308AC96B ] ERSvc           C:\WINDOWS\System32\ersvc.dll
11:18:08.0306 1736  ERSvc - ok
11:18:08.0353 1736  [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog        C:\WINDOWS\system32\services.exe
11:18:08.0353 1736  Eventlog - ok
11:18:08.0399 1736  [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem     C:\WINDOWS\system32\es.dll
11:18:08.0415 1736  EventSystem - ok
11:18:08.0415 1736  [ 38D332A6D56AF32635675F132548343E ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
11:18:08.0430 1736  Fastfat - ok
11:18:08.0477 1736  [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
11:18:08.0477 1736  FastUserSwitchingCompatibility - ok
11:18:08.0477 1736  [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc             C:\WINDOWS\system32\drivers\Fdc.sys
11:18:08.0493 1736  Fdc - ok
11:18:08.0508 1736  [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
11:18:08.0508 1736  Fips - ok
11:18:08.0508 1736  [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk        C:\WINDOWS\system32\drivers\Flpydisk.sys
11:18:08.0508 1736  Flpydisk - ok
11:18:08.0524 1736  [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr          C:\WINDOWS\system32\drivers\fltmgr.sys
11:18:08.0524 1736  FltMgr - ok
11:18:08.0633 1736  [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
11:18:08.0633 1736  FontCache3.0.0.0 - ok
11:18:08.0649 1736  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
11:18:08.0649 1736  Fs_Rec - ok
11:18:08.0649 1736  [ 8F1955CE42E1484714B542F341647778 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
11:18:08.0649 1736  Ftdisk - ok
11:18:08.0680 1736  [ 8182FF89C65E4D38B2DE4BB0FB18564E ] GEARAspiWDM     C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys
11:18:08.0680 1736  GEARAspiWDM - ok
11:18:08.0711 1736  [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
11:18:08.0711 1736  Gpc - ok
11:18:08.0727 1736  [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus        C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
11:18:08.0727 1736  HDAudBus - ok
11:18:08.0805 1736  [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
11:18:08.0805 1736  helpsvc - ok
11:18:08.0851 1736  [ B35DA85E60C0103F2E4104532DA2F12B ] HidServ         C:\WINDOWS\System32\hidserv.dll
11:18:08.0851 1736  HidServ - ok
11:18:08.0851 1736  [ CCF82C5EC8A7326C3066DE870C06DAF1 ] hidusb          C:\WINDOWS\system32\DRIVERS\hidusb.sys
11:18:08.0851 1736  hidusb - ok
11:18:08.0898 1736  [ ED29F14101523A6E0E808107405D452C ] hkmsvc          C:\WINDOWS\System32\kmsvc.dll
11:18:08.0898 1736  hkmsvc - ok
11:18:08.0914 1736  hpn - ok
11:18:08.0960 1736  [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
11:18:08.0960 1736  HTTP - ok
11:18:08.0992 1736  [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
11:18:08.0992 1736  HTTPFilter - ok
11:18:08.0992 1736  i2omgmt - ok
11:18:08.0992 1736  i2omp - ok
11:18:09.0272 1736  [ 612194ABC69A6DB0E2C49E1544CA93A0 ] ialm            C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
11:18:09.0506 1736  ialm - ok
11:18:09.0615 1736  [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc           C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
11:18:09.0630 1736  idsvc - ok
11:18:09.0662 1736  [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi           C:\WINDOWS\system32\DRIVERS\imapi.sys
11:18:09.0662 1736  Imapi - ok
11:18:09.0693 1736  [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService    C:\WINDOWS\system32\imapi.exe
11:18:09.0708 1736  ImapiService - ok
11:18:09.0708 1736  ini910u - ok
11:18:09.0708 1736  IntelIde - ok
11:18:09.0771 1736  [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm        C:\WINDOWS\system32\DRIVERS\intelppm.sys
11:18:09.0771 1736  intelppm - ok
11:18:09.0786 1736  [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw           C:\WINDOWS\system32\drivers\ip6fw.sys
11:18:09.0786 1736  Ip6Fw - ok
11:18:09.0818 1736  [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
11:18:09.0818 1736  IpFilterDriver - ok
11:18:09.0849 1736  [ B87AB476DCF76E72010632B5550955F5 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
11:18:09.0849 1736  IpInIp - ok
11:18:09.0895 1736  [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
11:18:09.0895 1736  IpNat - ok
11:18:09.0973 1736  [ E6BE7A41A28D8F2DB174957454D32448 ] iPod Service    C:\Programme\iPod\bin\iPodService.exe
11:18:09.0989 1736  iPod Service - ok
11:18:10.0005 1736  [ 23C74D75E36E7158768DD63D92789A91 ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
11:18:10.0005 1736  IPSec - ok
11:18:10.0036 1736  [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
11:18:10.0036 1736  IRENUM - ok
11:18:10.0067 1736  [ 7BAEF646E550106B039849B72244A35A ] IRRemoteFlt     C:\WINDOWS\system32\DRIVERS\IRFilter.sys
11:18:10.0067 1736  IRRemoteFlt - ok
11:18:10.0082 1736  [ 6DFB88F64135C525433E87648BDA30DE ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
11:18:10.0082 1736  isapnp - ok
11:18:10.0207 1736  [ 28E8A9984BA1297EFE44B6138D2CA51E ] JavaQuickStarterService C:\Programme\Java\jre6\bin\jqs.exe
11:18:10.0207 1736  JavaQuickStarterService - ok
11:18:10.0254 1736  [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
11:18:10.0254 1736  Kbdclass - ok
11:18:10.0254 1736  [ B6D6C117D771C98130497265F26D1882 ] kbdhid          C:\WINDOWS\system32\DRIVERS\kbdhid.sys
11:18:10.0254 1736  kbdhid - ok
11:18:10.0285 1736  [ 41FFD6CF9745C54FA2310CFEC88EE5ED ] KeyAgent        C:\WINDOWS\system32\drivers\KeyAgent.sys
11:18:10.0285 1736  KeyAgent - ok
11:18:10.0316 1736  [ 692BCF44383D056AED41B045A323D378 ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
11:18:10.0316 1736  kmixer - ok
11:18:10.0332 1736  [ B467646C54CC746128904E1654C750C1 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
11:18:10.0332 1736  KSecDD - ok
11:18:10.0363 1736  [ 2BBDCB79900990F0716DFCB714E72DE7 ] lanmanserver    C:\WINDOWS\System32\srvsvc.dll
11:18:10.0363 1736  lanmanserver - ok
11:18:10.0425 1736  [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
11:18:10.0425 1736  lanmanworkstation - ok
11:18:10.0425 1736  lbrtfdc - ok
11:18:10.0441 1736  [ 636714B7D43C8D0C80449123FD266920 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
11:18:10.0441 1736  LmHosts - ok
11:18:10.0488 1736  [ 67817E31ACB988465AAFE7D51888002B ] MacHALDriver    C:\WINDOWS\system32\drivers\MacHALDriver.sys
11:18:10.0488 1736  MacHALDriver - ok
11:18:10.0581 1736  [ 11F714F85530A2BD134074DC30E99FCA ] MDM             C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
11:18:10.0581 1736  MDM - ok
11:18:10.0612 1736  [ B7550A7107281D170CE85524B1488C98 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
11:18:10.0612 1736  Messenger - ok
11:18:10.0659 1736  [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd           C:\WINDOWS\system32\drivers\mnmdd.sys
11:18:10.0659 1736  mnmdd - ok
11:18:10.0690 1736  [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc         C:\WINDOWS\system32\mnmsrvc.exe
11:18:10.0690 1736  mnmsrvc - ok
11:18:10.0706 1736  [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
11:18:10.0706 1736  Modem - ok
11:18:10.0721 1736  [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
11:18:10.0721 1736  Mouclass - ok
11:18:10.0753 1736  [ 66A6F73C74E1791464160A7065CE711A ] mouhid          C:\WINDOWS\system32\DRIVERS\mouhid.sys
11:18:10.0753 1736  mouhid - ok
11:18:10.0768 1736  [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
11:18:10.0768 1736  MountMgr - ok
11:18:10.0830 1736  [ 8BE15F71DE6FF33FC56DCDE7B2B9EFE8 ] MozillaMaintenance C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
11:18:10.0830 1736  MozillaMaintenance - ok
11:18:10.0830 1736  mraid35x - ok
11:18:10.0846 1736  [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
11:18:10.0862 1736  MRxDAV - ok
11:18:10.0908 1736  [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
11:18:10.0924 1736  MRxSmb - ok
11:18:10.0955 1736  [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC           C:\WINDOWS\system32\msdtc.exe
11:18:10.0955 1736  MSDTC - ok
11:18:10.0971 1736  [ C941EA2454BA8350021D774DAF0F1027 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
11:18:10.0971 1736  Msfs - ok
11:18:10.0971 1736  MSIServer - ok
11:18:11.0002 1736  [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
11:18:11.0002 1736  MSKSSRV - ok
11:18:11.0018 1736  [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
11:18:11.0018 1736  MSPCLOCK - ok
11:18:11.0033 1736  [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
11:18:11.0033 1736  MSPQM - ok
11:18:11.0064 1736  [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
11:18:11.0064 1736  mssmbios - ok
11:18:11.0080 1736  [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
11:18:11.0080 1736  Mup - ok
11:18:11.0127 1736  [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent        C:\WINDOWS\System32\qagentrt.dll
11:18:11.0142 1736  napagent - ok
11:18:11.0173 1736  [ 1DF7F42665C94B825322FAE71721130D ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
11:18:11.0189 1736  NDIS - ok
11:18:11.0220 1736  [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
11:18:11.0220 1736  NdisTapi - ok
11:18:11.0236 1736  [ F927A4434C5028758A842943EF1A3849 ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
11:18:11.0236 1736  Ndisuio - ok
11:18:11.0251 1736  [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
11:18:11.0251 1736  NdisWan - ok
11:18:11.0298 1736  [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
11:18:11.0298 1736  NDProxy - ok
11:18:11.0298 1736  [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
11:18:11.0298 1736  NetBIOS - ok
11:18:11.0314 1736  [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
11:18:11.0314 1736  NetBT - ok
11:18:11.0345 1736  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE          C:\WINDOWS\system32\netdde.exe
11:18:11.0345 1736  NetDDE - ok
11:18:11.0360 1736  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
11:18:11.0360 1736  NetDDEdsdm - ok
11:18:11.0376 1736  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon        C:\WINDOWS\system32\lsass.exe
11:18:11.0392 1736  Netlogon - ok
11:18:11.0407 1736  [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman          C:\WINDOWS\System32\netman.dll
11:18:11.0407 1736  Netman - ok
11:18:11.0423 1736  [ D34612C5D02D026535B3095D620626AE ] NetTcpPortSharing C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
11:18:11.0438 1736  NetTcpPortSharing - ok
11:18:11.0469 1736  [ E9E47CFB2D461FA0FC75B7A74C6383EA ] NIC1394         C:\WINDOWS\system32\DRIVERS\nic1394.sys
11:18:11.0469 1736  NIC1394 - ok
11:18:11.0532 1736  [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla             C:\WINDOWS\System32\mswsock.dll
11:18:11.0532 1736  Nla - ok
11:18:11.0547 1736  [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
11:18:11.0547 1736  Npfs - ok
11:18:11.0579 1736  [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
11:18:11.0594 1736  Ntfs - ok
11:18:11.0594 1736  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp         C:\WINDOWS\system32\lsass.exe
11:18:11.0594 1736  NtLmSsp - ok
11:18:11.0641 1736  [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
11:18:11.0656 1736  NtmsSvc - ok
11:18:11.0656 1736  [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null            C:\WINDOWS\system32\drivers\Null.sys
11:18:11.0656 1736  Null - ok
11:18:11.0703 1736  [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
11:18:11.0703 1736  NwlnkFlt - ok
11:18:11.0703 1736  [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
11:18:11.0703 1736  NwlnkFwd - ok
11:18:11.0719 1736  [ CA33832DF41AFB202EE7AEB05145922F ] ohci1394        C:\WINDOWS\system32\DRIVERS\ohci1394.sys
11:18:11.0719 1736  ohci1394 - ok
11:18:11.0750 1736  [ 7A56CF3E3F12E8AF599963B16F50FB6A ] ose             C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
11:18:11.0750 1736  ose - ok
11:18:11.0781 1736  [ F84785660305B9B903FB3BCA8BA29837 ] Parport         C:\WINDOWS\system32\drivers\Parport.sys
11:18:11.0781 1736  Parport - ok
11:18:11.0797 1736  [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
11:18:11.0797 1736  PartMgr - ok
11:18:11.0828 1736  [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
11:18:11.0828 1736  ParVdm - ok
11:18:11.0859 1736  [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
11:18:11.0859 1736  PCI - ok
11:18:11.0859 1736  PCIDump - ok
11:18:11.0906 1736  [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde          C:\WINDOWS\system32\DRIVERS\pciide.sys
11:18:11.0906 1736  PCIIde - ok
11:18:11.0937 1736  [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia          C:\WINDOWS\system32\drivers\Pcmcia.sys
11:18:11.0937 1736  Pcmcia - ok
11:18:11.0937 1736  PDCOMP - ok
11:18:11.0937 1736  PDFRAME - ok
11:18:11.0953 1736  PDRELI - ok
11:18:11.0953 1736  PDRFRAME - ok
11:18:11.0953 1736  perc2 - ok
11:18:11.0968 1736  perc2hib - ok
11:18:12.0202 1736  [ F042EE4C8D66248D9B86DCF52ABAE416 ] PEVSystemStart  C:\ComboFix\pev.3XE
11:18:12.0202 1736  PEVSystemStart - ok
11:18:12.0233 1736  [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay        C:\WINDOWS\system32\services.exe
11:18:12.0233 1736  PlugPlay - ok
11:18:12.0249 1736  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent     C:\WINDOWS\system32\lsass.exe
11:18:12.0249 1736  PolicyAgent - ok
11:18:12.0295 1736  [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
11:18:12.0295 1736  PptpMiniport - ok
11:18:12.0295 1736  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
11:18:12.0295 1736  ProtectedStorage - ok
11:18:12.0311 1736  [ 09298EC810B07E5D582CB3A3F9255424 ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
11:18:12.0311 1736  PSched - ok
11:18:12.0358 1736  [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
11:18:12.0358 1736  Ptilink - ok
11:18:12.0358 1736  ql1080 - ok
11:18:12.0373 1736  Ql10wnt - ok
11:18:12.0373 1736  ql12160 - ok
11:18:12.0373 1736  ql1240 - ok
11:18:12.0389 1736  ql1280 - ok
11:18:12.0389 1736  [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
11:18:12.0389 1736  RasAcd - ok
11:18:12.0405 1736  [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto         C:\WINDOWS\System32\rasauto.dll
11:18:12.0405 1736  RasAuto - ok
11:18:12.0420 1736  [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
11:18:12.0420 1736  Rasl2tp - ok
11:18:12.0451 1736  [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan          C:\WINDOWS\System32\rasmans.dll
11:18:12.0451 1736  RasMan - ok
11:18:12.0467 1736  [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
11:18:12.0467 1736  RasPppoe - ok
11:18:12.0482 1736  [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
11:18:12.0482 1736  Raspti - ok
11:18:12.0498 1736  [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
11:18:12.0498 1736  Rdbss - ok
11:18:12.0498 1736  [ 4912D5B403614CE99C28420F75353332 ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
11:18:12.0514 1736  RDPCDD - ok
11:18:12.0529 1736  [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr           C:\WINDOWS\system32\DRIVERS\rdpdr.sys
11:18:12.0529 1736  rdpdr - ok
11:18:12.0560 1736  [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
11:18:12.0576 1736  RDPWD - ok
11:18:12.0607 1736  [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
11:18:12.0607 1736  RDSessMgr - ok
11:18:12.0623 1736  [ ED761D453856F795A7FE056E42C36365 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
11:18:12.0623 1736  redbook - ok
11:18:12.0654 1736  [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
11:18:12.0654 1736  RemoteAccess - ok
11:18:12.0685 1736  [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry  C:\WINDOWS\system32\regsvc.dll
11:18:12.0685 1736  RemoteRegistry - ok
11:18:12.0701 1736  [ 851C30DF2807FCFA21E4C681A7D6440E ] RFCOMM          C:\WINDOWS\system32\DRIVERS\rfcomm.sys
11:18:12.0716 1736  RFCOMM - ok
11:18:12.0716 1736  [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator      C:\WINDOWS\system32\locator.exe
11:18:12.0716 1736  RpcLocator - ok
11:18:12.0747 1736  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs           C:\WINDOWS\system32\rpcss.dll
11:18:12.0763 1736  RpcSs - ok
11:18:12.0794 1736  [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP            C:\WINDOWS\system32\rsvp.exe
11:18:12.0794 1736  RSVP - ok
11:18:12.0810 1736  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs           C:\WINDOWS\system32\lsass.exe
11:18:12.0810 1736  SamSs - ok
11:18:12.0825 1736  [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
11:18:12.0825 1736  SCardSvr - ok
11:18:12.0872 1736  [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule        C:\WINDOWS\system32\schedsvc.dll
11:18:12.0872 1736  Schedule - ok
11:18:12.0919 1736  [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
11:18:12.0919 1736  Secdrv - ok
11:18:12.0934 1736  [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon        C:\WINDOWS\System32\seclogon.dll
11:18:12.0934 1736  seclogon - ok
11:18:12.0950 1736  [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS            C:\WINDOWS\system32\sens.dll
11:18:12.0950 1736  SENS - ok
11:18:12.0981 1736  [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial          C:\WINDOWS\system32\drivers\Serial.sys
11:18:12.0981 1736  Serial - ok
11:18:13.0012 1736  [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy         C:\WINDOWS\system32\drivers\Sfloppy.sys
11:18:13.0012 1736  Sfloppy - ok
11:18:13.0059 1736  [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
11:18:13.0075 1736  SharedAccess - ok
11:18:13.0090 1736  [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
11:18:13.0090 1736  ShellHWDetection - ok
11:18:13.0090 1736  Simbad - ok
11:18:13.0137 1736  [ A1ECEEAA5C5E74B2499EB51D38185B84 ] SONYPVU1        C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
11:18:13.0137 1736  SONYPVU1 - ok
11:18:13.0137 1736  Sparrow - ok
11:18:13.0168 1736  [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
11:18:13.0168 1736  splitter - ok
11:18:13.0215 1736  [ 60784F891563FB1B767F70117FC2428F ] Spooler         C:\WINDOWS\system32\spoolsv.exe
11:18:13.0215 1736  Spooler - ok
11:18:13.0230 1736  [ 50FA898F8C032796D3B1B9951BB5A90F ] sr              C:\WINDOWS\system32\DRIVERS\sr.sys
11:18:13.0230 1736  sr - ok
11:18:13.0262 1736  [ FE77A85495065F3AD59C5C65B6C54182 ] srservice       C:\WINDOWS\system32\srsvc.dll
11:18:13.0277 1736  srservice - ok
11:18:13.0324 1736  [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
11:18:13.0324 1736  Srv - ok
11:18:13.0355 1736  [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
11:18:13.0355 1736  SSDPSRV - ok
11:18:13.0386 1736  [ E0631F05586C800A893C926C6C9C2210 ] STacSV          C:\WINDOWS\system32\STacSV.exe
11:18:13.0386 1736  STacSV - ok
11:18:13.0449 1736  [ CC314B6E5C2C73B849B57D3DECD45BEA ] STHDA           C:\WINDOWS\system32\drivers\sthda.sys
11:18:13.0480 1736  STHDA - ok
11:18:13.0527 1736  [ BC2C5985611C5356B24AEB370953DED9 ] stisvc          C:\WINDOWS\system32\wiaservc.dll
11:18:13.0527 1736  stisvc - ok
11:18:13.0573 1736  [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
11:18:13.0573 1736  swenum - ok
11:18:13.0589 1736  [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
11:18:13.0589 1736  swmidi - ok
11:18:13.0589 1736  SwPrv - ok
11:18:13.0605 1736  symc810 - ok
11:18:13.0605 1736  symc8xx - ok
11:18:13.0605 1736  sym_hi - ok
11:18:13.0605 1736  sym_u3 - ok
11:18:13.0636 1736  [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
11:18:13.0636 1736  sysaudio - ok
11:18:13.0667 1736  [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
11:18:13.0667 1736  SysmonLog - ok
11:18:13.0698 1736  [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
11:18:13.0698 1736  TapiSrv - ok
11:18:13.0729 1736  [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
11:18:13.0745 1736  Tcpip - ok
11:18:13.0776 1736  [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
11:18:13.0776 1736  TDPIPE - ok
11:18:13.0792 1736  [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
11:18:13.0792 1736  TDTCP - ok
11:18:13.0823 1736  [ 88155247177638048422893737429D9E ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
11:18:13.0823 1736  TermDD - ok
11:18:13.0869 1736  [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService     C:\WINDOWS\System32\termsrv.dll
11:18:13.0869 1736  TermService - ok
11:18:13.0901 1736  [ 2DB7D303C36DDD055215052F118E8E75 ] Themes          C:\WINDOWS\System32\shsvcs.dll
11:18:13.0901 1736  Themes - ok
11:18:13.0916 1736  [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr         C:\WINDOWS\system32\tlntsvr.exe
11:18:13.0916 1736  TlntSvr - ok
11:18:13.0932 1736  TosIde - ok
11:18:13.0947 1736  [ 626504572B175867F30F3215C04B3E2F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
11:18:13.0963 1736  TrkWks - ok
11:18:13.0979 1736  [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
11:18:13.0979 1736  Udfs - ok
11:18:13.0979 1736  ultra - ok
11:18:14.0041 1736  [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
11:18:14.0041 1736  Update - ok
11:18:14.0072 1736  [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost        C:\WINDOWS\System32\upnphost.dll
11:18:14.0072 1736  upnphost - ok
11:18:14.0103 1736  [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS             C:\WINDOWS\System32\ups.exe
11:18:14.0103 1736  UPS - ok
11:18:14.0134 1736  [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp         C:\WINDOWS\system32\DRIVERS\usbccgp.sys
11:18:14.0134 1736  usbccgp - ok
11:18:14.0150 1736  [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
11:18:14.0150 1736  usbehci - ok
11:18:14.0166 1736  [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
11:18:14.0166 1736  usbhub - ok
11:18:14.0197 1736  [ A0B8CF9DEB1184FBDD20784A58FA75D4 ] usbscan         C:\WINDOWS\system32\DRIVERS\usbscan.sys
11:18:14.0197 1736  usbscan - ok
11:18:14.0243 1736  [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
11:18:14.0243 1736  USBSTOR - ok
11:18:14.0259 1736  [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci         C:\WINDOWS\system32\DRIVERS\usbuhci.sys
11:18:14.0259 1736  usbuhci - ok
11:18:14.0275 1736  [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
11:18:14.0275 1736  VgaSave - ok
11:18:14.0275 1736  ViaIde - ok
11:18:14.0290 1736  [ A5A712F4E880874A477AF790B5186E1D ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
11:18:14.0290 1736  VolSnap - ok
11:18:14.0337 1736  [ 68F106273BE29E7B7EF8266977268E78 ] VSS             C:\WINDOWS\System32\vssvc.exe
11:18:14.0337 1736  VSS - ok
11:18:14.0368 1736  [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time         C:\WINDOWS\system32\w32time.dll
11:18:14.0368 1736  W32Time - ok
11:18:14.0384 1736  [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
11:18:14.0384 1736  Wanarp - ok
11:18:14.0446 1736  [ FD47474BD21794508AF449D9D91AF6E6 ] Wdf01000        C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
11:18:14.0446 1736  Wdf01000 - ok
11:18:14.0462 1736  WDICA - ok
11:18:14.0477 1736  [ 6768ACF64B18196494413695F0C3A00F ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
11:18:14.0477 1736  wdmaud - ok
11:18:14.0508 1736  [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient       C:\WINDOWS\System32\webclnt.dll
11:18:14.0524 1736  WebClient - ok
11:18:14.0586 1736  [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
11:18:14.0586 1736  winmgmt - ok
11:18:14.0680 1736  [ F10075C2EC96D2EB118012E78ECE2FC2 ] WinRM           C:\WINDOWS\system32\WsmSvc.dll
11:18:14.0695 1736  WinRM - ok
11:18:14.0742 1736  [ C51B4A5C05A5475708E3C81C7765B71D ] WmdmPmSN        C:\WINDOWS\system32\MsPMSNSv.dll
11:18:14.0742 1736  WmdmPmSN - ok
11:18:14.0789 1736  [ FFA4D901D46D07A5BAB2D8307FBB51A6 ] Wmi             C:\WINDOWS\System32\advapi32.dll
11:18:14.0805 1736  Wmi - ok
11:18:14.0851 1736  [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv        C:\WINDOWS\system32\wbem\wmiapsrv.exe
11:18:14.0851 1736  WmiApSrv - ok
11:18:14.0945 1736  [ BF05650BB7DF5E9EBDD25974E22403BB ] WMPNetworkSvc   C:\Programme\Windows Media Player\WMPNetwk.exe
11:18:14.0960 1736  WMPNetworkSvc - ok
11:18:15.0085 1736  [ DCF3E3EDF5109EE8BC02FE6E1F045795 ] WPFFontCache_v0400 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
11:18:15.0101 1736  WPFFontCache_v0400 - ok
11:18:15.0147 1736  [ 6ABE6E225ADB5A751622A9CC3BC19CE8 ] WS2IFSL         C:\WINDOWS\System32\drivers\ws2ifsl.sys
11:18:15.0147 1736  WS2IFSL - ok
11:18:15.0194 1736  [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
11:18:15.0194 1736  wscsvc - ok
11:18:15.0210 1736  [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
11:18:15.0210 1736  wuauserv - ok
11:18:15.0241 1736  [ F15FEAFFFBB3644CCC80C5DA584E6311 ] WudfPf          C:\WINDOWS\system32\DRIVERS\WudfPf.sys
11:18:15.0241 1736  WudfPf - ok
11:18:15.0256 1736  [ 28B524262BCE6DE1F7EF9F510BA3985B ] WudfRd          C:\WINDOWS\system32\DRIVERS\wudfrd.sys
11:18:15.0256 1736  WudfRd - ok
11:18:15.0272 1736  [ 05231C04253C5BC30B26CBAAE680ED89 ] WudfSvc         C:\WINDOWS\System32\WUDFSvc.dll
11:18:15.0288 1736  WudfSvc - ok
11:18:15.0350 1736  [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
11:18:15.0350 1736  WZCSVC - ok
11:18:15.0366 1736  [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
11:18:15.0381 1736  xmlprov - ok
11:18:15.0428 1736  [ 4322C32CED8C4772E039616DCBF01D3F ] yukonwxp        C:\WINDOWS\system32\DRIVERS\yk51x86.sys
11:18:15.0428 1736  yukonwxp - ok
11:18:15.0443 1736  ================ Scan global ===============================
11:18:15.0490 1736  [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
11:18:15.0537 1736  [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
11:18:15.0553 1736  [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
11:18:15.0584 1736  [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
11:18:15.0584 1736  [Global] - ok
11:18:15.0584 1736  ================ Scan MBR ==================================
11:18:15.0599 1736  [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
11:18:15.0895 1736  \Device\Harddisk0\DR0 - ok
11:18:15.0895 1736  ================ Scan VBR ==================================
11:18:15.0895 1736  [ F0954157BC7E77AE2156D9CAC2A536AF ] \Device\Harddisk0\DR0\Partition1
11:18:15.0895 1736  \Device\Harddisk0\DR0\Partition1 - ok
11:18:15.0895 1736  [ A5F6BFC34EF96DB95BF47F8380916DCB ] \Device\Harddisk0\DR0\Partition2
11:18:15.0895 1736  \Device\Harddisk0\DR0\Partition2 - ok
11:18:15.0895 1736  [ C4486A4E921EEF4FBB8B6F443D1D344A ] \Device\Harddisk0\DR0\Partition3
11:18:15.0895 1736  \Device\Harddisk0\DR0\Partition3 - ok
11:18:15.0911 1736  [ C4486A4E921EEF4FBB8B6F443D1D344A ] \Device\Harddisk0\DR0\Partition4
11:18:15.0911 1736  \Device\Harddisk0\DR0\Partition4 - ok
11:18:15.0911 1736  ============================================================
11:18:15.0911 1736  Scan finished
11:18:15.0911 1736  ============================================================
11:18:15.0911 3820  Detected object count: 0
11:18:15.0911 3820  Actual detected object count: 0
11:18:49.0807 2572  Deinitialize success

und gmer:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-20 12:49:30
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-e Hitachi_HTS541680J9SA00 rev.SB2AC7MP
Running: p3fjorml.exe; Driver: C:\DOKUME~1\ADMINI~1.SYS\LOKALE~1\Temp\pwlyypob.sys


---- Kernel code sections - GMER 1.0.15 ----

?    C:\DOKUME~1\ADMINI~1.SYS\LOKALE~1\Temp\aswMBR.sys                                                                                       Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e52e1724f                                                             
Reg  HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e52e1724f (not active ControlSet)                                         
Reg  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\3da21691-e39d-4da6-8a4b-b43877bcb1b7@FlushCacheFiles  ????????????????????????????????????? ??????????????????????????????:???????????????????? ?????????????????????x??????@????? ???????????????????? ??????????????????????????????l???????????????????????? ???????,???????????????? ?????H???&?????????????????????????H?????????REG_SZ??????????????????C:\Programme\Adobe\Reader 9.0\Reader\plug_ins\Annotations\Stamps\ENU\???? >??????i??????????????????????????????????? ??????????????????????????????N? ?????????????{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}????????4?????????IDestinationStreamFactory???? ?????????????????????????????????? ???????????REG_SZ??????????????????4???????? ???????,???????????????? ????? ???&???????????????????????REG_SZ??? ??????????????????????????????N???????????????REG_SZ??32????????N?????????{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}???????? ?????????IFileSaveDialog???????????????????????????????????????N?????????C:\WINDOWS\system32\DllCache????? ??????????????????????????????:?s ???rim??msimsg.dll.mui??????????????????????4.5.6001.22159????????2
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                                                      15
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                                                         10000
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                                                       yes
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                                                      
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                                                      90
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                                                        10000
Reg  HKLM\SOFTWARE\Classes\CLSID\{69A150D8-5392-D6E5-4993-3AC61DEF6DD6}\InprocServer32@                                                      C:\Programme\Gemeinsame Dateien\Microsoft Shared\Grphflt\FPX32.FLT
Reg  HKLM\SOFTWARE\Classes\CLSID\{69A150D8-5392-D6E5-4993-3AC61DEF6DD6}\InprocServer32@InprocServer32                                        A84DVn-}f(YR]eAR6.jiGraphicsFiltersFPXFiles<?
Reg  HKLM\SOFTWARE\Classes\CLSID\{69A150D8-5392-D6E5-4993-3AC61DEF6DD6}\MiscStatus@                                                          1
Reg  HKLM\SOFTWARE\Classes\CLSID\{DF15095B-2C79-3886-7C82-938D01762F18}\InprocServer32@                                                      C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\ITIRCL52.DLL
Reg  HKLM\SOFTWARE\Classes\CLSID\{DF15095B-2C79-3886-7C82-938D01762F18}\InprocServer32@InprocServer32                                        A84DVn-}f(YR]eAR6.jiTranslationHidden>BbxH8x=!g(3?!!!_GX=b?
Reg  HKLM\SOFTWARE\Classes\CLSID\{DF15095B-2C79-3886-7C82-938D01762F18}\InprocServer32@ThreadingModel                                        both
Reg  HKLM\SOFTWARE\Classes\CLSID\{DF15095B-2C79-3886-7C82-938D01762F18}\ProgID@                                                              ITIR.DefWordSink.5.2

---- EOF - GMER 1.0.15 ----

Nochmals vielen Dank für die Mühe,

T.

ryder · 20.11.2012, 13:31

Danke. Das ist alles sehr seltsam ...

Frage: Du nutzt auf dem Rechner als Sicherheitssoftware nur MSE? Deinstalliere das mal bitte.

Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

gtdaexl · 20.11.2012, 14:14

Hallo nochmal,

mbar gratuliert mit: keine malware entdeckt.

Folgendes fällt mir an dem PC noch auf, keine Ahnung, inwieweit das relevant sein könnte :

1.) Beim Abmelden des infizierten Users muss man seit der Google-Umleitung immer die rundll32.exe manuell beenden, weil das angemeckert wird

2.) Aus dem Userverzeichnis/Anwendungsdaten kann immer eine setupl.dll nicht auf den Server kopiert werden, weil keine Berechtigung vorhanden?

3.) Der Rechner ist ein Mac mini, auf dem aber nur mittels Bootcamp Windows läuft.

Und? Müssen wir wohl neu installieren, wa?

LG,

T.

Noch was:

Als mbar keine Malware gemeldet hat und ich mich wieder unter dem infizierten User angemeldet habe, hab ich nochmal google getestet. Dann passierte Folgendes:

Bei den ersten drei Aufrufen war die Umleitung weg, der Browser (FF) hat aber oben beim Laden ausgesehen, als ob er über mehrere Seiten "hopst" (weiß nicht, wie ichs besser beschreiben soll...)

Beim vierten Mal ist er dann wieder über eine Seite namens "ihavenet" o.ä weitergeleitet worden und der Fehler war wieder da

Vielleicht fällt Dir ja noch was ein.

LG,

T.

ryder · 20.11.2012, 14:25

Hm das ist wirklich ein hartnäckiger Fall.

Melde dich in das infizierte Konto an und mache mir einen neuen OTL-Scan.

Kontrollscan mit OTL

Starte bitte OTL.exe - falls noch nicht vorhanden: LINK

Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!

Drücke den Quick Scan Button.

Poste die OTL.txt hier in deinen Thread.

gtdaexl · 20.11.2012, 14:38

Ok, here goes:

OTL:

Code:

ATTFilter

OTL logfile created on: 20.11.2012 14:31:16 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\UschySchwarz\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
991,43 Mb Total Physical Memory | 354,54 Mb Available Physical Memory | 35,76% Memory free
2,33 Gb Paging File | 1,87 Gb Available in Paging File | 80,37% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,34 Gb Total Space | 12,18 Gb Free Space | 32,61% Space Free | Partition Type: NTFS
 
Computer Name: SERVICE1 | User Name: UschySchwarz | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: On | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\UschySchwarz\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Boot Camp\KbdMgr.exe (Apple Inc.)
PRC - C:\WINDOWS\system32\IRW.exe (Apple Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (PEVSystemStart) -- C:\ComboFix\pev.3XE ()
SRV - (AppleOSSMgr) -- C:\WINDOWS\system32\AppleOSSMgr.exe ()
SRV - (AppleTimeSrv) -- C:\WINDOWS\system32\AppleTimeSrv.exe (Apple Inc.)
SRV - (WmiApRpl) -- C:\WINDOWS\system32\wbem\wmiaprpl.dll (Microsoft Corporation)
SRV - (STacSV) -- C:\WINDOWS\system32\stacsv.exe (SigmaTel, Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (pwlyypob) -- C:\DOKUME~1\ADMINI~1.SYS\LOKALE~1\Temp\pwlyypob.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\DOKUME~1\ADMINI~1.SYS\LOKALE~1\Temp\catchme.sys File not found
DRV - (aswMBR) -- C:\DOKUME~1\ADMINI~1.SYS\LOKALE~1\Temp\aswMBR.sys File not found
DRV - (KeyAgent) -- C:\WINDOWS\system32\drivers\KeyAgent.sys (Apple Inc.)
DRV - (MacHALDriver) -- C:\WINDOWS\system32\drivers\MacHALDriver.sys (Apple Inc.)
DRV - (IRRemoteFlt) -- C:\WINDOWS\system32\drivers\IRFilter.sys (Apple Inc.)
DRV - (applebt) -- C:\WINDOWS\system32\drivers\applebt.sys (Apple Inc.)
DRV - (WmiApRpl) -- C:\WINDOWS\system32\wbem\wmiaprpl.dll (Microsoft Corporation)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)
DRV - (BthKicker) -- C:\WINDOWS\system32\drivers\BthKicker.sys (Apple Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\..\SearchScopes\{6D187926-0E6A-4C7F-AB5D-1879AF028C56}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\..\SearchScopes\{F74FF547-5693-4A83-B343-137DF67938FA}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms}
IE - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_33: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.11.16 14:15:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.11.16 14:12:41 | 000,000,000 | ---D | M]
 
[2010.01.25 08:01:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Mozilla\Extensions
[2008.08.12 08:15:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2012.11.19 10:11:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Mozilla\Firefox\Profiles\x2khicbr.default\extensions
[2012.07.31 15:53:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.07.31 15:53:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2009.06.24 11:00:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2012.11.16 14:15:45 | 000,261,600 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.07.31 15:49:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.16 14:15:10 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.07.31 15:49:58 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.31 15:49:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.31 15:49:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.31 15:49:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Apple_KbdMgr] C:\Programme\Boot Camp\KbdMgr.exe (Apple Inc.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [IRW] C:\WINDOWS\system32\IRW.exe (Apple Inc.)
O4 - HKLM..\Run: [SigmatelSysTrayApp] sttray.exe File not found
O4 - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137..\Run: [scvepaeu] C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\SETUPL.dll ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1341994214152 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1341994199347 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = systemlogistik.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{BD29CBCD-30E3-4ABE-8BE7-6EC55CA4FDA8}: DhcpNameServer = 192.168.0.2
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\UschySchwarz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\UschySchwarz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.20 13:48:43 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {ECD292A0-0347-4244-8C24-5DBCE990FB40} - Hotfix for Microsoft .NET Framework 3.0 (KB932471)
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PEVSystemStart - C:\ComboFix\pev.3XE ()
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: procexp90.Sys - Driver
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PEVSystemStart - C:\ComboFix\pev.3XE ()
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: procexp90.Sys - Driver
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
CREATERESTOREPOINT
Unable to start System Restore Service. Error code 5
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.11.20 13:43:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.11.20 07:33:43 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2012.11.19 16:52:56 | 000,000,000 | --SD | C] -- C:\ComboFix
[2012.11.19 13:58:46 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2012.11.19 13:55:51 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012.11.19 13:55:51 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012.11.19 13:55:51 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012.11.19 13:55:51 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012.11.19 13:54:08 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.11.19 13:53:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.11.20 14:09:39 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.11.20 13:13:27 | 000,001,324 | ---- | M] () -- C:\Dokumente und Einstellungen\UschySchwarz\Desktop\Sharedfiles.lnk
[2012.11.20 11:02:01 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.11.20 07:29:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.11.19 16:50:24 | 000,001,919 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2012.11.19 13:58:53 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2012.11.19 07:28:02 | 000,180,240 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.11.16 17:06:28 | 000,496,242 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.11.16 17:06:28 | 000,475,942 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.11.16 17:06:28 | 000,092,018 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.11.16 17:06:28 | 000,076,976 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.11.16 16:56:38 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.11.16 15:35:51 | 000,033,772 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat
[2012.11.16 14:12:43 | 000,001,712 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2012.10.22 20:56:29 | 001,866,496 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\win32k.sys
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.11.19 13:58:53 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2012.11.19 13:58:49 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2012.11.19 13:55:51 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.11.19 13:55:51 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.11.19 13:55:51 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.11.19 13:55:51 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.11.19 13:55:51 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2012.11.16 16:58:32 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.11.16 15:35:51 | 000,033,772 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2012.10.04 11:23:50 | 000,090,112 | RHS- | C] () -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\SETUPL.dll
[2012.07.11 10:00:29 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2008.07.10 13:19:25 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\UschySchwarz\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.25 15:19:55 | 000,014,026 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
========== ZeroAccess Check ==========
 
[2008.02.20 15:49:48 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2008.02.25 15:48:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2008.08.12 08:16:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2008.02.25 15:46:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zeon
[2010.09.07 09:07:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.04.16 08:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\EPSON
[2010.06.10 07:39:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\map&guide
[2011.09.01 06:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\OpenOffice.org
[2010.04.15 11:37:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\pdfforge
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\ScanSoft
[2010.04.15 11:37:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Search Settings
[2008.08.12 08:15:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\TomTom
[2008.05.19 10:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Zeon
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2009.01.29 12:05:18 | 000,000,000 | ---D | M] -- C:\3cf71b58bc6dd44b22da24e9d3
[2008.05.14 08:46:55 | 000,000,000 | ---D | M] -- C:\Backup
[2012.11.19 13:58:53 | 000,000,000 | RHSD | M] -- C:\cmdcons
[2012.11.19 16:55:53 | 000,000,000 | --SD | M] -- C:\ComboFix
[2010.12.08 09:47:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2010.04.15 11:04:27 | 000,000,000 | ---D | M] -- C:\Drivers
[2008.02.25 11:17:22 | 000,000,000 | ---D | M] -- C:\EPSON
[2008.02.20 13:55:58 | 000,000,000 | ---D | M] -- C:\Intel
[2012.11.19 15:14:43 | 000,000,000 | R--D | M] -- C:\Programme
[2012.11.19 13:55:44 | 000,000,000 | ---D | M] -- C:\Qoobox
[2012.11.20 11:07:06 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2008.02.25 15:17:55 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2009.07.10 12:35:42 | 000,000,000 | ---D | M] -- C:\usr
[2012.11.19 16:55:42 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %SYSTEMDRIVE%\*.* >
[2012.11.19 13:48:29 | 000,002,466 | ---- | M] () -- C:\AdwCleaner[S1].txt
[2008.02.20 13:48:43 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.01.24 17:51:28 | 000,000,050 | ---- | M] () -- C:\BCUIUpdate.log
[2008.02.20 13:43:08 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2012.11.19 13:58:53 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2004.08.03 23:00:10 | 000,262,448 | RHS- | M] () -- C:\cmldr
[2008.02.20 13:48:43 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2008.02.20 13:48:43 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2008.02.20 13:48:43 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2009.02.23 17:22:19 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2012.11.20 07:29:45 | 1560,281,088 | -HS- | M] () -- C:\pagefile.sys
[2010.01.24 17:55:52 | 000,000,569 | ---- | M] () -- C:\RHDSetup.log
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: PROGRAMFILES(X86)
 
< %systemroot%\*. /mp /s >
 
< %windir%\installer\*. /10 >
[2012.11.16 17:13:34 | 000,000,000 | ---D | M] -- C:\WINDOWS\installer\{90120000-0020-0407-0000-0000000FF1CE}
[2012.11.16 17:13:41 | 000,000,000 | ---D | M] -- C:\WINDOWS\installer\{90120000-0020-0409-0000-0000000FF1CE}
[2012.11.16 17:14:20 | 000,000,000 | ---D | M] -- C:\WINDOWS\installer\{90E00407-6000-11D3-8CFE-0150048383C9}
[2012.11.19 15:14:32 | 000,000,000 | ---D | M] -- C:\WINDOWS\installer\{98EABC7F-B1A1-43A5-B505-5B4EC3908DCD}
[2012.11.16 14:14:29 | 000,000,000 | ---D | M] -- C:\WINDOWS\installer\{AC76BA86-7AD7-1031-7B44-A95000000001}
 
< %appdata%\*.  >
[2008.07.10 13:21:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Adobe
[2012.03.27 15:27:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Apple Computer
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\EPSON
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Identities
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Macromedia
[2010.06.10 07:39:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\map&guide
[2010.08.03 08:30:50 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Microsoft
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Mozilla
[2011.09.01 06:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\OpenOffice.org
[2010.04.15 11:37:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\pdfforge
[2008.05.14 16:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\ScanSoft
[2010.04.15 11:37:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Search Settings
[2008.07.29 11:33:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Sun
[2008.08.12 08:15:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\TomTom
[2011.05.05 12:29:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\U3
[2008.05.19 10:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\Zeon
 
< %appdata%\*.*  >
[2008.02.20 13:36:06 | 000,000,062 | -HS- | M] () -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\desktop.ini
[2012.11.12 12:51:26 | 000,033,672 | ---- | M] () -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2012.10.04 11:23:52 | 000,090,112 | RHS- | M] () -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\SETUPL.dll
 
< %appdata%\*.exe /s >
[2007.10.23 08:27:20 | 000,110,592 | ---- | M] () -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\U3\temp\cleanup.exe
[2008.05.02 09:41:48 | 003,493,888 | -H-- | M] (SanDisk Corporation) -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\U3\temp\Launchpad Removal.exe
Invalid Environment Variable: localappdata
Invalid Environment Variable: localappdata
Invalid Environment Variable: localappdata
 
< %allusersprofile%\*.  >
[2012.11.20 13:43:35 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
[2012.11.16 14:12:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Desktop
[2008.02.20 13:46:04 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users\Dokumente
[2008.02.21 09:48:18 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\DRM
[2008.02.20 13:36:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Favoriten
[2011.07.15 10:52:33 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü
[2011.08.31 11:28:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Vorlagen
 
< %allusersprofile%\*.* >
[2008.05.15 13:43:11 | 000,014,026 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
< %allusersprofile%\*.exe /s >
[2012.01.03 18:46:15 | 000,345,520 | ---- | M] (Adobe Systems Incorporated) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Setup\{AC76BA86-7AD7-1031-7B44-A95000000001}\Setup.exe
[2012.07.31 16:59:44 | 000,073,624 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 10.6.3.25\SetupAdmin.exe

< End of report >

Extras:

Code:

ATTFilter

OTL Extras logfile created on: 20.11.2012 14:31:17 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\UschySchwarz\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
991,43 Mb Total Physical Memory | 354,54 Mb Available Physical Memory | 35,76% Memory free
2,33 Gb Paging File | 1,87 Gb Available in Paging File | 80,37% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,34 Gb Total Space | 12,18 Gb Free Space | 32,61% Space Free | Partition Type: NTFS
 
Computer Name: SERVICE1 | User Name: UschySchwarz | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: On | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications]
"Enabled" = 1
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications\List]
"%WINDIR%\SYSTEM32\Sessmgr.exe:*:Enabled:Remote Assistance" = %WINDIR%\SYSTEM32\Sessmgr.exe:*:Enabled:Remote Assistance -- (Microsoft Corporation)
"%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:*:Enabled:Offer Remote Assistance" = %WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:*:Enabled:Offer Remote Assistance -- (Microsoft Corporation)
"%WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:*:Enabled:Remote Assistance - Windows Messenger and Voice" = %WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:*:Enabled:Remote Assistance - Windows Messenger and Voice -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts]
"Enabled" = 1
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List]
"135:TCP:*:Enabled:Offer Remote Assistance - Port" = 135:TCP:*:Enabled:Offer Remote Assistance - Port
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\FileAndPrint]
"Enabled" = 1
"RemoteAddresses" = LocalSubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\RemoteDesktop]
"Enabled" = 1
"RemoteAddresses" = *
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications]
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts]
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend) 
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Kyocera\KACT\KACT.exe" = C:\Programme\Kyocera\KACT\KACT.exe:*:Enabled:KACT -- (KYOCERA MITA CORPORATION)
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour" -- (Apple Inc.)
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime
"{122ADF8C-DDA1-480C-9936-C88F2825B265}" = Apple Application Support
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2511D82C-2688-41C2-ABF8-AF237795989B}" = pdfforge Toolbar v6.2
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 33
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{6AD9F5F3-5BD0-4000-BD9C-B536CF86D988}" = iTunes
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{833C263F-55F0-4D72-AAAD-172FA0484F30}" = ScanSoft PDF Create! 3.0
"{8F1ADE4D-EFAC-4F5A-B346-23C2687FAF50}" = Apple Mobile Device Support
"{900A92BA-19EF-4A34-86CF-7B6C85BDD971}" = VC_MergeModuleToMSI
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{90E00407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Outlook 2003
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.2 - Deutsch
"{AF05002A-7812-42D8-A307-E3A7EED8AAA9}" = map&guide Karte Mitteleuropa City Release 12/2006
"{B51641A5-1ABD-4511-BA83-949D002D852E}" = map&guide 13 professional
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0E45628-1218-4865-A516-8E8A54272ADC}" = Boot Camp-Dienste
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"02FEC2FAAA7DED51CAF15F06DB8B63E735EE735C" = Windows-Treiberpaket - Apple Inc. (applebt) Bluetooth  (04/06/2008 2.1.0.1)
"059BF941BA77F24DED9444B45BB0DAA5353F86EB" = Windows Driver Package - Apple Inc. System  (06/21/2007 2.0.0.0)
"0936416DB5978E29D553FACF9DD6F3EFBA1929DA" = Windows Driver Package - Apple Inc. Apple Trackpad (08/28/2007 2.0.1.4)
"0EEF0136F93FA6C5AB723AADEA61FF550D8C60FB" = Windows Driver Package - Broadcom (BCM43XX) Net  (01/08/2007 4.80.75.0)
"144A90A8644F24BDCA0607CBAE7F90C2F5427DA4" = Windows-Treiberpaket - Apple Inc. Apple Multitouch (12/18/2007 2.0.1.10)
"181B29655BDD6EA3FC483A7E4D1C2ED7735873F0" = Windows Driver Package - Apple Inc. Apple Keyboard (08/30/2007 2.0.1.4)
"18BB9B0552BA675902E31409A34F929D9C9AD56C" = Windows Driver Package - Intel (e1express) Net  (04/03/2006 9.3.39.0)
"2CA2C2712E3120F27F44A38A6FA5540D9A93CA01" = Windows-Treiberpaket - Apple Inc. Apple IR Receiver (11/01/2007 2.0.1.1)
"3F930CC3EE841B82D6D463716B5F67BD240BBD46" = Windows-Treiberpaket - Apple Inc. Apple Wireless Mouse (09/17/2009 3.0.0.5)
"5F8BE32FAE3D6BC77B512F7B0624D7B6C8A26EFB" = Windows Driver Package - Apple Inc. Apple Bluetooth Enabler (06/27/2007 2.0.0.1)
"6784A318842714811EC3F8409C3C0F7983B90972" = Windows Driver Package - Apple Inc. Apple Built-in iSight (04/09/2007 1.3.0.0)
"6AB59209597E0F6B986EC8E976521FDF0A696C9D" = Windows Driver Package - Marvell (yukonwxp) Net  (03/23/2007 10.12.7.3)
"6AEF368351694A266BAB82596EEA968C73E8FC87" = Windows Driver Package - Apple Inc. Apple Trackpad Enabler (08/28/2007 2.0.1.4)
"6B401A4481C0B1B07B5D7425378A5C00FF7D75DE" = Windows-Treiberpaket - Apple Inc. Apple Multitouch Mouse (09/10/2009 3.0.0.0)
"80087CDF19A4CE2FBB535E7DC99A0E50FFA25589" = Windows Driver Package - Intel (E1000) Net  (01/06/2006 8.6.17.0)
"850625E38080EAF5C2644C07A2510A394019973D" = Windows Driver Package - Apple Inc. (applebt) Bluetooth  (06/27/2007 2.0.0.1)
"8BBE3DC2B1A38488ADAF1D96E1296F4F88B7F69C" = Windows-Treiberpaket - CirrusLogic (HdAudAddService) MEDIA  (09/15/2009 1.0.0.26)
"9324ED54E32F5399037F87E076CA01C6CEB92830" = Windows-Treiberpaket - Apple Inc. Apple Built-in iSight (10/25/2007 2.0.1.0)
"992615C0D0002C27AA3BB336C66D1E7764047A51" = Windows-Treiberpaket - Apple Inc. Apple Trackpad (10/09/2007 2.0.1.5)
"9B19F92D5E3730EA8D0788B248741F6CC2633DBE" = Windows Driver Package - Apple Inc. Apple IR Receiver (07/16/2007 2.0.0.1)
"AD3493E108434977125BBF78F47699626F8AF64B" = Windows-Treiberpaket - Apple Inc. (AppleUSBEthernet) Net  (01/11/2008 3.4.3.18)
"AD3F97DB12E1CE21FA0120AB7CE80FADD54FC0AB" = Windows-Treiberpaket - Apple Inc. Apple Keyboard (03/10/2008 2.1.0.0)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 2.0" = Adobe Photoshop Elements 2.0
"B4AC4F962DDC0DD6B71FCF20B8F2F694214FAE69" = Windows-Treiberpaket - Apple Inc. Apple ODD (01/17/2008 2.0.2.2)
"C71CD722DD357F78301EAEA028431241C2D91890" = Windows-Treiberpaket - Apple Inc. System  (09/12/2007 2.0.1.1)
"CD6212024668E03491C257CA53617893F2E8E924" = Windows-Treiberpaket - Apple Inc. Apple Multitouch (09/10/2009 3.0.0.0)
"CE031DF97C704035E8B6E570362ABD337ACA4BA5" = Windows Driver Package - Atheros (AR5211) Net  (04/05/2007 5.3.0.35)
"D1E46C4F35C591B14E31349A9EDA8227C5F0E966" = Windows-Treiberpaket - Apple Inc. Apple Trackpad Enabler (10/09/2007 2.0.1.5)
"D3BCC671821E117ACD653C1AA146540791143F25" = Windows-Treiberpaket - Apple Inc. Apple Display (12/19/2007 2.0.2.0)
"D66D0ACEFE4E32CCDF30362ACBB3EAEFB97E9FDE" = Windows Driver Package - Atheros (AR5416) Net  (06/26/2007 6.0.3.94)
"D922ADD1498E7464ED76231D79D703FC1320C80C" = Windows-Treiberpaket - Broadcom (BCM43XX) Net  (09/20/2007 4.170.25.12)
"EPSON Scanner" = EPSON Scan
"F2AE684ADF164A03D9FFABF28F04DDE05ED67BC5" = Windows-Treiberpaket - Apple Inc. Apple Keyboard (04/06/2009 3.0.0.0)
"F5A89004299B5282B8B5D7D9F7253FF13C58628F" = Windows-Treiberpaket - Apple Inc. Apple Multitouch Mouse (12/18/2007 2.0.1.10)
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Kyocera FS-C5100DN/FS-C5200DN/FS-C5300DN Product Library" = Kyocera FS-C5100DN/FS-C5200DN/FS-C5300DN Product Library
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 16.0.2 (x86 de)" = Mozilla Firefox 16.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"SHARP MX-2300 2700 3500 4500 Series PCL PS Printer Driver" = SHARP MX/DX Series PCL/PS Printer Driver
"Tobit InfoCenter" = Tobit InfoCenter 
"TomTom HOME" = TomTom HOME
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 20 Event Log Errors ==========
 
Error: Unable to start EventLog service!
 
< End of report >

ryder · 20.11.2012, 14:44

Gut, das war der entscheidende Hinweis. Manchmal lohnt es sich, einfach nur genauer hinzusehen

Schritt 1:
Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

Starte bitte die OTL.exe.

Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
O4 - HKU\S-1-5-21-4043667740-1795689889-1114841048-1137..\Run: [scvepaeu] C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\SETUPL.dll ()
[2012.10.04 11:23:50 | 000,090,112 | RHS- | C] () -- C:\Dokumente und Einstellungen\UschySchwarz\Anwendungsdaten\SETUPL.dll

:commands
[Emptytemp]
         
Schliesse bitte nun alle Programme.

Klicke nun bitte auf den Fix Button.

OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)

Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Schritt 2:
Kontrollscan mit OTL

Starte bitte OTL.exe - falls noch nicht vorhanden: LINK

Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!

Drücke den Quick Scan Button.

Poste die OTL.txt hier in deinen Thread.

ryder · 20.11.2012, 15:07

Hey wir sind noch nicht fertig!

Bitte versuche ob Combofix jetzt durchläuft. Es gefällt mir nicht, dass das abstürzt, das ist kein gutes Zeichen ...

gtdaexl · 20.11.2012, 15:09

ok, zu früh gefreut...

als Admin oder unter dem betroffenen Benutzerkonto?

Grüße,

T.

P.S.: Ihr seid super!

ryder · 20.11.2012, 15:10

Von deinem Administratorkonto aus bitte.

Verstehe bitte, dass ich dich erst gehen lasse wenn ich sicher bin ... dass DU sicher bist

gtdaexl · 20.11.2012, 15:41

Hallo nochmal,

Combofix ist gerade wieder hängengeblieben...

Ansonsten zeigt der Rechner keine Auffälligkeit...

Grüße,

T.

ryder · 20.11.2012, 15:42

So jetzt probieren wir es so:

Combofix sollte auf dem Desktop liegen.

Windowstaste + R > "%userprofile%\desktop\combofix.exe" /killall (reinkopieren) > OK

gtdaexl · 20.11.2012, 16:02

So, der komplette PC ist wieder abgestürzt, mit dem Unterschied, dass dieses Mal der Mauszeiger noch bewegt werden konnte. Sonst wars immer ein kompletter Freeze...

ryder · 20.11.2012, 16:05

Ach zum verzweifeln ... in Ordnung ich geb mich geschlagen

Du sagst der PC läuft soweit gut ... dann jetzt bitte:

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung

Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.

Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.

Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.

Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.

Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Bitte hier klicken --->
Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.

IE-User müssen das Installieren eines ActiveX Elements erlauben.

Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.

Warte bis die Komponenten herunter geladen wurden.

Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.

drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange dauern!

Wenn der Scan beendet wurde
Klicke und dann

Speichere das Logfile als ESET.txt auf dem Desktop.

Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

20.11.2012, 15:07	#9
ryder /// TB-Ausbilder	Trojanerbeseitigung - Google Suchergebnisse werden umgeleitet Hey wir sind noch nicht fertig! Bitte versuche ob Combofix jetzt durchläuft. Es gefällt mir nicht, dass das abstürzt, das ist kein gutes Zeichen ... __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

20.11.2012, 15:10	#11
ryder /// TB-Ausbilder	Trojanerbeseitigung - Google Suchergebnisse werden umgeleitet Von deinem Administratorkonto aus bitte. Verstehe bitte, dass ich dich erst gehen lasse wenn ich sicher bin ... dass DU sicher bist __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

20.11.2012, 15:42	#13
ryder /// TB-Ausbilder	Trojanerbeseitigung - Google Suchergebnisse werden umgeleitet So jetzt probieren wir es so: Combofix sollte auf dem Desktop liegen. Windowstaste + R > "%userprofile%\desktop\combofix.exe" /killall (reinkopieren) > OK __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

Trojanerbeseitigung - Google Suchergebnisse werden umgeleitet

Plagegeister aller Art und deren Bekämpfung: Trojanerbeseitigung - Google Suchergebnisse werden umgeleitet