GVU Trojaner eingefangen, WinXP, abgesicherter Modus geht nicht, Kaspersky Rescue auch nicht

cosinus · 16.01.2013, 16:12

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

thdy · 17.01.2013, 09:10

Hier der Combofix Log

Code:

ATTFilter

ComboFix 13-01-16.01 - forsch5user 17.01.2013   9:00.1.4 - x86
ausgeführt von:: c:\documents and settings\forsch5user\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Documents
c:\windows\IsUn0407.exe
c:\windows\SwSys1.bmp
c:\windows\SwSys2.bmp
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\muzapp.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-17 bis 2013-01-17  ))))))))))))))))))))))))))))))
.
.
2073-04-13 16:17 . 2006-11-21 19:48	203576	------w-	c:\program files\Microsoft Games\Age of Empires III\autopatcher2.exe
2013-01-15 18:11 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2013-01-15 18:11 . 2013-01-15 12:29	--------	d-----w-	C:\_OTL
2013-01-15 15:39 . 2013-01-15 15:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2013-01-11 13:23 . 2013-01-11 13:23	--------	d-----w-	c:\documents and settings\Forsch2user\Application Data\DATEV
2013-01-11 13:21 . 2013-01-11 13:21	--------	d-----w-	c:\documents and settings\Forsch2user\Application Data\ATI
2013-01-11 13:21 . 2013-01-11 13:21	--------	d-----w-	c:\documents and settings\Forsch2user\Local Settings\Application Data\ATI
2013-01-11 13:21 . 2013-01-11 13:21	--------	d-----w-	c:\documents and settings\Forsch2user\Local Settings\Application Data\DATEV
2013-01-11 13:01 . 2013-01-11 13:01	--------	d-sh--w-	c:\documents and settings\Forsch2user\IETldCache
2013-01-10 15:20 . 2013-01-13 12:23	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-12-18 14:28 . 2012-12-18 14:28	186584	----a-w-	c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2012-12-18 14:28 . 2012-12-18 14:28	186584	----a-w-	c:\program files\Internet Explorer\Plugins\nppdf32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-15 16:34 . 2012-07-20 06:13	74248	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-15 16:34 . 2012-07-20 06:13	697864	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-12-16 12:23 . 2006-02-28 13:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 20:29 . 2012-11-13 20:29	354216	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
2012-11-13 01:25 . 2006-02-28 13:00	1866368	----a-w-	c:\windows\system32\win32k.sys
2012-11-08 10:29 . 2012-11-08 10:29	1402312	----a-w-	c:\windows\system32\msxml4.dll
2012-11-06 02:01 . 2006-12-04 13:53	1371648	----a-w-	c:\windows\system32\msxml6.dll
2012-11-02 02:02 . 2006-02-28 13:00	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2006-02-28 13:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2006-02-28 13:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2006-02-28 13:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2006-02-28 13:00	385024	----a-w-	c:\windows\system32\html.iec
2012-10-29 03:09 . 2011-07-26 15:26	45320	----a-w-	c:\windows\system32\MAMACExtract.dll
2012-12-07 14:36 . 2012-12-07 14:36	262112	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"DATEV Update-Monitor"="c:\datev\PROGRAMM\Install\DvInesASDMon.exe" [2012-08-30 288352]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143360]
"RTHDCPL"="RTHDCPL.EXE" [2008-11-17 17676288]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-08-03 13892200]
"NvMediaCenter"="NvMCTray.dll" [2011-08-03 111208]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2011-07-05 1632360]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-09-08 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"DivXMediaServer"="c:\program files\DivX\DivX Media Server\DivXMediaServer.exe" [2012-11-13 450560]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2012-11-30 1263512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Basisschnittstelle Office Initialisierung.lnk - c:\datev\PROGRAMM\BSOffice\service\OfficeDiag.exe [2012-8-30 42592]
CleanupPrintJobs.lnk - c:\datev\PROGRAMM\B0001401\CleanupPrintJobs.exe [2012-6-13 22624]
DATEV-Hinweis Mitteilungsdienst.lnk - c:\datev\PROGRAMM\A0000007\DHNC.exe [2009-5-27 45056]
DFÜ-Manager.lnk - c:\datev\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe [2012-7-27 358048]
Microsoft Office Outlook 2003.lnk -  [N/A]
RZ-Druckertreiber V.2.3.lnk - c:\datev\SYSTEM\rzpjwtch.exe [2008-6-18 36448]
SkyUserDevmode-Update.lnk - c:\datev\PROGRAMM\B0001401\UpdateDevmode.exe [2012-6-13 22624]
ZyXEL Dual Band Wireless N USB Adapter Utility.lnk - c:\program files\ZyXEL\NWD-211AN\NWD-211AN.exe [2010-5-25 11038720]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\DATEV\\PROGRAMM\\A0000008\\Nhstw32.exe"=
"c:\\DATEV\\PROGRAMM\\B0000000\\DFUEMNGR\\DcManag.exe"=
"c:\\DATEV\\PROGRAMM\\B0000000\\DFUEMNGR\\dfueman.exe"= c:\\DATEV\\PROGRAMM\\B0000000\\DFUEMNGR\\DfueMan.exe
"c:\\DATEV\\PROGRAMM\\RZKOMM\\ccsrv2.exe"=
"c:\\DATEV\\PROGRAMM\\RZKOMM\\DfueSammlerDienst.exe"=
"c:\\DATEV\\PROGRAMM\\RZKOMM\\funkt_fv.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe
"c:\datev\PROGRAMM\DFUEISDN\SSLCLT\sslclt.exe"= c:\datev\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SSLClt.exe
"c:\datev\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe"= c:\datev\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:mntbna.exe
"c:\\DATEV\\PROGRAMM\\B0000195\\ADDMAN\\DATEVAddMan.exe"=
"c:\\DATEV\\PROGRAMM\\EOBASIS\\EO2.exe"=
"c:\\Datev\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"=
"c:\\Datev\\PROGRAMM\\Install\\Uninstal.exe"=
"c:\\DATEV\\PROGRAMM\\NUMZUS\\NumZus.exe"=
"c:\\DATEV\\PROGRAMM\\MITARBEI\\Mitarbei.exe"=
"c:\\DATEV\\PROGRAMM\\MANDANT\\Mandant.exe"=
"c:\\DATEV\\PROGRAMM\\R0000135\\EOR.EXE"= c:\\DATEV\\PROGRAMM\\R0000135\\EOR
"c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaAdmin.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaPing.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\StartCIOProfile.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\MasterSWM_Viewer.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaLicFile.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\StartCIO.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\TestTCP.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaStatus.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NVIDIA Updatus\\daemonu.exe"=
"c:\\DATEV\\PROGRAMM\\K0005000\\Arbeitsplatz.exe"=
"c:\\DATEV\\SYSTEM\\DvpExe.exe"=
"c:\\DATEV\\SYSTEM\\DcomSrv.exe"=
"c:\\DATEV\\PROGRAMM\\RWApplic\\Datev.Irw.Managed.ServiceProvider.exe"= c:\\DATEV\\PROGRAMM\\RWAPPLIC\\Datev.Irw.Managed.ServiceProvider.exe
"c:\\WINDOWS\\system32\\hasplms.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13364:UDP"= 13364:UDP:Print Server Utility
"13107:UDP"= 13107:UDP:Print Server Utility
"69:UDP"= 69:UDP:Print Server Utility
"1947:TCP"= 1947:TCP:HASP SRM 
"1947:UDP"= 1947:UDP:HASP SRM 
.
R3 AbilisT;Abilis Systems Single DVB-T Tuner;c:\windows\system32\Drivers\AbilisBdaTuner.sys [x]
R3 athrusb;Atheros Wireless LAN USB device driver;c:\windows\system32\DRIVERS\athrusb.sys [x]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [x]
R3 NB762_XP;NB 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanUZXP.sys [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [x]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [x]
S0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\System32\drivers\sfdrv01a.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 NHostNT1;NetOp Driver 1 ver. 9.00 (2006348);c:\windows\System32\Drivers\NHOSTNT1.SYS [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 CDMA Device Service;CDMA Device Service;c:\program files\Samsung\USB Drivers\26_VIA_driver2\x86\VIAService.exe [x]
S2 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\INSTALL\DvInesASDSvc.Exe [x]
S2 Datev.Framework.RemoteServiceModel.EnablerService;DATEV DFL-Service-Manager;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 -Single [x]
S2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTSERV.EXE [x]
S2 Dcmanag;DATEV DFÜ-System Dienst;c:\datev\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe [x]
S2 hasplms;Sentinel Local License Manager;c:\windows\system32\hasplms.exe  -run [x]
S2 NetOp Host for NT Service;NetOp Helper ver. 9.00 (2006348);c:\datev\PROGRAMM\A0000008\NHOSTSVC.EXE [x]
S3 Datev.Framework.RemoteServices;DATEV DFL Infrastruktur-Dienst;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 -Single [x]
S3 IntelDH;IntelDH Driver;c:\windows\system32\Drivers\IntelDH.sys [x]
S3 NHOSTNT3;NetOp Driver 3 ver. 9.00 (2006348) (NHOSTNT3);c:\windows\System32\Drivers\NHOSTNT3.SYS [x]
S3 NWD211AN;ZyXEL 802.11n NWD211AN Driver;c:\windows\system32\DRIVERS\WLANURN.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-12 16:34]
.
2013-01-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-07 06:16]
.
2013-01-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-07 06:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\documents and settings\forsch5user\Application Data\Mozilla\Firefox\Profiles\7p87vvmf.default\
FF - prefs.js: browser.startup.homepage - about:home
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-KiesAirMessage - c:\program files\Samsung\Kies\KiesAirMessage.exe
HKCU-Run-KiesPreload - c:\program files\Samsung\Kies\Kies.exe
AddRemove-ImgBurn - c:\volley\IMG\ImgBurn\uninstall.exe
AddRemove-LearnLincClient - c:\windows\IsUn0407.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - c:\program files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\program files\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-26_VIA_driver2 - c:\program files\Samsung\USB Drivers\26_VIA_driver2\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-17 09:05
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1482476501-1004336348-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•A~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(868)
c:\windows\SYSTEM32\Ati2evxx.dll
c:\windows\SYSTEM32\atiadlxx.dll
.
Zeit der Fertigstellung: 2013-01-17  09:06:45
ComboFix-quarantined-files.txt  2013-01-17 08:06
.
Vor Suchlauf: 333.387.259.904 bytes free
Nach Suchlauf: 343.934.746.624 bytes free
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 1F9CDA1E681B8F24952533C14C3610BE

cosinus · 17.01.2013, 16:00

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

thdy · 18.01.2013, 08:21

adwCleaner Log

Code:

ATTFilter

# AdwCleaner v2.106 - Logfile created 01/18/2013 at 08:20:20
# Updated 17/01/2013 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : forsch5user - FORSCH5
# Boot Mode : Normal
# Running from : C:\Documents and Settings\forsch5user\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Found : HKLM\Software\Description

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

-\\ Mozilla Firefox v17.0.1 (de)

File : C:\Documents and Settings\forsch5user\Application Data\Mozilla\Firefox\Profiles\7p87vvmf.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [755 octets] - [18/01/2013 08:20:20]

########## EOF - C:\AdwCleaner[R1].txt - [814 octets] ##########

Mein Avira Antivir hat gestern 5 Datein in Qarantäne gesteckt.

Darunter die zwei die im OTL Ordner waren

TR/Reveton.P.13-->wgsdgsdgdsgsd.exe
TR/Reveton.P.13-->MovedFiles.zip

und drei neue
TR/Reveton.P.13-->A0000104.exe
TR/Reveton.P.13-->3439487b-682faa60
EXP/Java.AM-->3218db46-2e3e0260

cosinus · 18.01.2013, 13:05

Zitat:

Mein Avira Antivir hat gestern 5 Datein in Qarantäne gesteckt.

Bitte immer das komplette Logs dazu posten!!

thdy · 18.01.2013, 14:22

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 17. Januar 2013  10:16

Es wird nach 4676173 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : FORSCH5

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  15.11.2012 07:46:45
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 11:33:49
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 11:33:50
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 11:33:50
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 06:18:15
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:49
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 08:14:15
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:30:01
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 06:04:39
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 07:33:16
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 14:51:13
VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 12:31:21
VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 12:31:22
VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 12:31:22
VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 12:31:22
VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 12:31:22
VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 10:41:40
VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 09:40:39
VBASE015.VDF   : 7.11.56.83    186880 Bytes  08.01.2013 15:12:20
VBASE016.VDF   : 7.11.56.145   135168 Bytes  09.01.2013 09:48:16
VBASE017.VDF   : 7.11.56.211   139776 Bytes  11.01.2013 15:31:57
VBASE018.VDF   : 7.11.57.11    153088 Bytes  13.01.2013 15:31:58
VBASE019.VDF   : 7.11.57.75    165888 Bytes  15.01.2013 15:31:58
VBASE020.VDF   : 7.11.57.76      2048 Bytes  15.01.2013 15:31:58
VBASE021.VDF   : 7.11.57.77      2048 Bytes  15.01.2013 15:31:58
VBASE022.VDF   : 7.11.57.78      2048 Bytes  15.01.2013 15:31:59
VBASE023.VDF   : 7.11.57.79      2048 Bytes  15.01.2013 15:31:59
VBASE024.VDF   : 7.11.57.80      2048 Bytes  15.01.2013 15:31:59
VBASE025.VDF   : 7.11.57.81      2048 Bytes  15.01.2013 15:31:59
VBASE026.VDF   : 7.11.57.82      2048 Bytes  15.01.2013 15:31:59
VBASE027.VDF   : 7.11.57.83      2048 Bytes  15.01.2013 15:31:59
VBASE028.VDF   : 7.11.57.84      2048 Bytes  15.01.2013 15:31:59
VBASE029.VDF   : 7.11.57.85      2048 Bytes  15.01.2013 15:31:59
VBASE030.VDF   : 7.11.57.86      2048 Bytes  15.01.2013 15:31:59
VBASE031.VDF   : 7.11.57.148   130048 Bytes  17.01.2013 07:28:37
Engineversion  : 8.2.10.230
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 09:16:40
AESCRIPT.DLL   : 8.1.4.80      467322 Bytes  15.01.2013 15:32:10
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 08:12:22
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:03:17
AERDL.DLL      : 8.2.0.88      643444 Bytes  15.01.2013 15:32:09
AEPACK.DLL     : 8.3.1.2       819574 Bytes  21.12.2012 07:25:12
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 13:43:23
AEHEUR.DLL     : 8.1.4.174    5615991 Bytes  15.01.2013 15:32:08
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 06:41:43
AEGEN.DLL      : 8.1.6.14      434548 Bytes  15.01.2013 15:32:01
AEEXP.DLL      : 8.3.0.8       188788 Bytes  15.01.2013 15:32:10
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 09:16:38
AECORE.DLL     : 8.1.30.0      201079 Bytes  14.12.2012 08:12:20
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 13:43:14
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 11:33:49
AVPREF.DLL     : 12.3.0.32      50720 Bytes  15.11.2012 07:46:45
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 11:33:50
AVARKT.DLL     : 12.3.0.33     209696 Bytes  15.11.2012 07:46:44
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 11:33:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 11:33:50
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 07:51:41
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 11:33:50
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 07:51:34
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  15.11.2012 07:46:42

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 17. Januar 2013  10:16

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
  [HINWEIS]   Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'DsMain.exe' - '228' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Sdd.Ui.EditHost.StartupService.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'NKWLOGIN.EXE' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Sdd.DataServer.exe' - '176' Modul(e) wurden durchsucht
Durchsuche Prozess 'Arbeitsplatz.exe' - '302' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccsrv3.exe' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'NWD-211AN.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'rzpjwtch.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'DfueMan.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'DvInesASDMon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaanotif.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'NHOSTSVC.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'mnantb.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'DcManag.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSNTSERV.EXE' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'DvInesASDSvc.Exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'VIAService.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1048' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Documents and Settings\forsch5user\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\59\3439487b-682faa60
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
C:\Documents and Settings\forsch5user\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\6\3218db46-2e3e0260
  [0] Archivtyp: ZIP
  --> ewjvaiwebvhtuai124a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-0422
  --> hw.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.AN
  --> test.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.AM
C:\_OTL\MovedFiles.zip
  [0] Archivtyp: ZIP
  --> MovedFiles/01152013_131117/C_Documents and Settings/forsch5user/wgsdgsdgdsgsd.exe
      [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
C:\_OTL\MovedFiles\01152013_131117\C_Documents and Settings\forsch5user\wgsdgsdgdsgsd.exe
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
Beginne mit der Suche in 'D:\' <RECOVER>
Beginne mit der Suche in 'H:\' <Volume>

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\01152013_131117\C_Documents and Settings\forsch5user\wgsdgsdgdsgsd.exe
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '521877b6.qua' verschoben!
C:\_OTL\MovedFiles.zip
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a885809.qua' verschoben!
C:\Documents and Settings\forsch5user\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\6\3218db46-2e3e0260
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.AM
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1892032d.qua' verschoben!
C:\Documents and Settings\forsch5user\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\59\3439487b-682faa60
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ea74ced.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 17. Januar 2013  11:29
Benötigte Zeit:  1:09:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  18016 Verzeichnisse wurden überprüft
 651452 Dateien wurden geprüft
      6 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 651446 Dateien ohne Befall
   4796 Archive wurden durchsucht
      0 Warnungen
      5 Hinweise
 761666 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 17. Januar 2013  16:40

Es wird nach 4676173 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : FORSCH5

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  15.11.2012 07:46:45
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 11:33:49
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 11:33:50
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 11:33:50
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 06:18:15
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:49
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 08:14:15
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:30:01
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 06:04:39
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 07:33:16
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 14:51:13
VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 12:31:21
VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 12:31:22
VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 12:31:22
VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 12:31:22
VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 12:31:22
VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 10:41:40
VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 09:40:39
VBASE015.VDF   : 7.11.56.83    186880 Bytes  08.01.2013 15:12:20
VBASE016.VDF   : 7.11.56.145   135168 Bytes  09.01.2013 09:48:16
VBASE017.VDF   : 7.11.56.211   139776 Bytes  11.01.2013 15:31:57
VBASE018.VDF   : 7.11.57.11    153088 Bytes  13.01.2013 15:31:58
VBASE019.VDF   : 7.11.57.75    165888 Bytes  15.01.2013 15:31:58
VBASE020.VDF   : 7.11.57.76      2048 Bytes  15.01.2013 15:31:58
VBASE021.VDF   : 7.11.57.77      2048 Bytes  15.01.2013 15:31:58
VBASE022.VDF   : 7.11.57.78      2048 Bytes  15.01.2013 15:31:59
VBASE023.VDF   : 7.11.57.79      2048 Bytes  15.01.2013 15:31:59
VBASE024.VDF   : 7.11.57.80      2048 Bytes  15.01.2013 15:31:59
VBASE025.VDF   : 7.11.57.81      2048 Bytes  15.01.2013 15:31:59
VBASE026.VDF   : 7.11.57.82      2048 Bytes  15.01.2013 15:31:59
VBASE027.VDF   : 7.11.57.83      2048 Bytes  15.01.2013 15:31:59
VBASE028.VDF   : 7.11.57.84      2048 Bytes  15.01.2013 15:31:59
VBASE029.VDF   : 7.11.57.85      2048 Bytes  15.01.2013 15:31:59
VBASE030.VDF   : 7.11.57.86      2048 Bytes  15.01.2013 15:31:59
VBASE031.VDF   : 7.11.57.148   130048 Bytes  17.01.2013 07:28:37
Engineversion  : 8.2.10.230
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 09:16:40
AESCRIPT.DLL   : 8.1.4.80      467322 Bytes  15.01.2013 15:32:10
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 08:12:22
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:03:17
AERDL.DLL      : 8.2.0.88      643444 Bytes  15.01.2013 15:32:09
AEPACK.DLL     : 8.3.1.2       819574 Bytes  21.12.2012 07:25:12
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 13:43:23
AEHEUR.DLL     : 8.1.4.174    5615991 Bytes  15.01.2013 15:32:08
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 06:41:43
AEGEN.DLL      : 8.1.6.14      434548 Bytes  15.01.2013 15:32:01
AEEXP.DLL      : 8.3.0.8       188788 Bytes  15.01.2013 15:32:10
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 09:16:38
AECORE.DLL     : 8.1.30.0      201079 Bytes  14.12.2012 08:12:20
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 13:43:14
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 11:33:49
AVPREF.DLL     : 12.3.0.32      50720 Bytes  15.11.2012 07:46:45
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 11:33:50
AVARKT.DLL     : 12.3.0.33     209696 Bytes  15.11.2012 07:46:44
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 11:33:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 11:33:50
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 07:51:41
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 11:33:50
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 07:51:34
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  15.11.2012 07:46:42

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_50f7b36e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 17. Januar 2013  16:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DsMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Sdd.Ui.EditHost.StartupService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NKWLOGIN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Sdd.DataServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Arbeitsplatz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccsrv3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rzpjwtch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DfueMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DvInesASDMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaanotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Datev.Framework.RemoteServiceModel.GenericService2010.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NHOSTSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mnantb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DcManag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSNTSERV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DvInesASDSvc.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VIAService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{927AA2F0-1AB5-4D84-BC34-337D198675B0}\RP1\A0000104.exe'
C:\System Volume Information\_restore{927AA2F0-1AB5-4D84-BC34-337D198675B0}\RP1\A0000104.exe
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{927AA2F0-1AB5-4D84-BC34-337D198675B0}\RP1\A0000104.exe
  [FUND]      Ist das Trojanische Pferd TR/Reveton.P.13
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5227bf1c.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 17. Januar 2013  16:40
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     57 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     56 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

cosinus · 18.01.2013, 15:20

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in CODE-Tags hier in den Thread.

thdy · 18.01.2013, 15:42

adwCleaner Log

Code:

ATTFilter

# AdwCleaner v2.106 - Logfile created 01/18/2013 at 15:34:53
# Updated 17/01/2013 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : forsch5user - FORSCH5
# Boot Mode : Normal
# Running from : C:\Documents and Settings\forsch5user\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Deleted : HKLM\Software\Description

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

-\\ Mozilla Firefox v17.0.1 (de)

File : C:\Documents and Settings\forsch5user\Application Data\Mozilla\Firefox\Profiles\7p87vvmf.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [882 octets] - [18/01/2013 08:20:20]
AdwCleaner[R2].txt - [941 octets] - [18/01/2013 08:24:49]
AdwCleaner[S1].txt - [875 octets] - [18/01/2013 15:34:53]

########## EOF - C:\AdwCleaner[S1].txt - [934 octets] ##########

OTL.txt

Code:

ATTFilter

OTL logfile created on: 18.01.2013 15:44:59 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Documents and Settings\forsch5user\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,61 Gb Available Physical Memory | 80,45% Memory free
5,09 Gb Paging File | 4,49 Gb Available in Paging File | 88,24% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 347,58 Gb Total Space | 320,42 Gb Free Space | 92,19% Space Free | Partition Type: NTFS
Drive D: | 20,51 Gb Total Space | 13,59 Gb Free Space | 66,27% Space Free | Partition Type: FAT32
Drive H: | 97,66 Gb Total Space | 97,57 Gb Free Space | 99,91% Space Free | Partition Type: NTFS
Drive L: | 922,47 Gb Total Space | 899,90 Gb Free Space | 97,55% Space Free | Partition Type: NTFS
 
Computer Name: FORSCH5 | User Name: forsch5user | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Documents and Settings\forsch5user\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Datev\PROGRAMM\Install\DvInesASDMon.Exe (DATEV eG)
PRC - C:\Datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe (DATEV eG)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Datev\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe (DATEV eG)
PRC - C:\Datev\SYSTEM\ccsrv3.exe (DATEV eG)
PRC - C:\Datev\PROGRAMM\Install\DvInesASDSvc.Exe (DATEV eG)
PRC - C:\Datev\PROGRAMM\B0001442\PSNTServ.exe (DATEV eG)
PRC - C:\Datev\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe (DATEV eG)
PRC - C:\Datev\PROGRAMM\DFUEWS\MNANTB\mnantb.exe (DATEV eG)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\WINDOWS\system32\hasplms.exe (SafeNet Inc.)
PRC - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)
PRC - C:\Program Files\Samsung\USB Drivers\26_VIA_driver2\x86\VIAService.exe ()
PRC - C:\Program Files\ZyXEL\NWD-211AN\NWD-211AN.exe (ZyXEL Communications Corp.)
PRC - C:\Datev\SYSTEM\RzpjWtch.exe (DATEV eG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
PRC - C:\Datev\PROGRAMM\A0000008\NHOSTSVC.EXE (Danware Data A/S)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.IdentityModel\8e092d89921648308ac103bb08bfd370\System.IdentityModel.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\e464dc608a88955a0edccba917d207de\System.ServiceModel.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceProce#\ca8205839c46dc20581e900292a0a350\System.ServiceProcess.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Transactions\9253eb314ef2f5adada0d5fdf1d4a839\System.Transactions.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Runtime.Dura#\22c60ca3c2b18e041ebff2578c90cba3\System.Runtime.DurableInstancing.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Runtime.Seri#\48ee0e1de873152ec7e85d7456c1cc09\System.Runtime.Serialization.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\62d047ff6c2865139d95eb19545b1cc6\SMDiagnostics.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Network\7269ccf4efcd7d1946fd2544171e4acc\Datev.Network.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Network.Inter#\46ecb3a66760a246d6faa47483e2d975\Datev.Network.Interfaces.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Rem#\7ee7e27545667addbaa6a39cdfa20ff3\Datev.Framework.RemoteServiceModel.GenericServiceBase.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Rem#\9b5dcdc4ccf2b76c447b88c25b6cb542\Datev.Framework.RemoteServiceModel.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Mic#\30b866baa659eb31c10a30be5d73ebc3\Datev.Framework.MicroKernel.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Int#\395ac20c146b0990cfb2acb3b3b4e9e4\Datev.Framework.Interface.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Hos#\f0e6d73a4d0a0c0c8b89f13485670787\Datev.Framework.Hosting.Interface.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Dia#\bf99e25c494d119495155be210f113fe\Datev.Framework.Diagnostics.RealTimeTracing.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB.Stor#\568df0ce5112568d972075751abf8b21\Datev.ConfigDB.StorageProvider.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB.Plug#\afc26d20e09a8236a7ce8b0bff440e0a\Datev.ConfigDB.PlugIn.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB\e8ceba6986c5410a8e817bfa171ba760\Datev.ConfigDB.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB.Inte#\1d07bd0d87508ec1c596c3f94071e30e\Datev.ConfigDB.Interfaces.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\33ff7d73f01be8329a95c6e03f1dd555\System.Web.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\96b7a0136e9e72e8f4eb0230c20766d2\System.Configuration.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Accessibility\cbee94ec6a0fe649e3b4643cea6e1259\Accessibility.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\fe025743210c22bea2f009e1612c38bf\System.Xml.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\4c91371e83d124ecb39664613e7e0417\System.Windows.Forms.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\7782f356a838c403b4a8e9c80df5a577\System.Drawing.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\aeac298c43c77d8860db8e7634d9f2eb\System.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\eab2340ead8e1a84bdf1a87868659979\mscorlib.ni.dll ()
MOD - C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Core\08bebcf66ad666dfdf2a4a934d79c0f9\System.Core.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Xml\d884c684ee3f738a60e3c50dd5d88caa\System.Xml.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Configuration\cb72ac8478a5ea7e2d570bb710ecb1c1\System.Configuration.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System\df418085cedae9fa2efee87e20a419a4\System.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\mscorlib\60c214b6ad5691e368a16ec65d127c27\mscorlib.ni.dll ()
MOD - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
MOD - C:\Program Files\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll ()
MOD - C:\Program Files\Samsung\USB Drivers\26_VIA_driver2\x86\VIAService.exe ()
MOD - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\AxInterop.WBOCXLib.dll ()
MOD - C:\Datev\SYSTEM\DvDfvkTrStart003.dll ()
MOD - C:\Program Files\ZyXEL\NWD-211AN\NICDLL.dll ()
MOD - C:\Datev\SYSTEM\DVBSKNFOMT109.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (Datev.Framework.RemoteServices) -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices File not found
SRV - (Datev.Framework.RemoteServiceModel.EnablerService) -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (DATEV Update-Service) -- C:\Datev\PROGRAMM\Install\DvInesASDSvc.Exe (DATEV eG)
SRV - (DatevPrintService) -- C:\Datev\PROGRAMM\B0001442\PSNTServ.exe (DATEV eG)
SRV - (Dcmanag) -- C:\Datev\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe (DATEV eG)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (hasplms) -- C:\WINDOWS\system32\hasplms.exe (SafeNet Inc.)
SRV - (nvUpdatusService) -- C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)
SRV - (CDMA Device Service) -- C:\Program Files\Samsung\USB Drivers\26_VIA_driver2\x86\VIAService.exe ()
SRV - (IAANTMON) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
SRV - (NetOp Host for NT Service) -- C:\Datev\PROGRAMM\A0000008\NHOSTSVC.EXE (Danware Data A/S)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\DOCUME~1\FORSCH~1\LOCALS~1\Temp\catchme.sys File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (aksfridge) -- C:\WINDOWS\system32\drivers\aksfridge.sys (SafeNet Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (SafeNet Inc.)
DRV - (ssudmdm) -- C:\WINDOWS\system32\drivers\ssudmdm.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV - (dg_ssudbus) -- C:\WINDOWS\system32\drivers\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV - (ssadmdm) -- C:\WINDOWS\system32\drivers\ssadmdm.sys (MCCI Corporation)
DRV - (ssadbus) -- C:\WINDOWS\system32\drivers\ssadbus.sys (MCCI Corporation)
DRV - (ssadmdfl) -- C:\WINDOWS\system32\drivers\ssadmdfl.sys (MCCI Corporation)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (AbilisT) -- C:\WINDOWS\system32\drivers\AbilisBdaTuner.sys (ABILIS Systems)
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (ZDCNDIS5) -- C:\WINDOWS\system32\ZDCndis5.sys (ZDC., Inc. (ZDC))
DRV - (NWD211AN) -- C:\WINDOWS\system32\drivers\WLANURN.sys (Ralink Technology, Corp.)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)
DRV - (IntelDH) -- C:\WINDOWS\system32\drivers\IntelDH.sys (Intel Corporation)
DRV - (NB762_XP) -- C:\WINDOWS\system32\drivers\WlanUZXP.sys (ZyDAS Technology Corporation)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)
DRV - (athrusb) -- C:\WINDOWS\system32\drivers\athrusb.sys (Atheros Communications, Inc.)
DRV - (NHostNT1) -- C:\WINDOWS\system32\drivers\NHOSTNT1.SYS (Danware Data A/S)
DRV - (NHOSTNT3) -- C:\WINDOWS\system32\drivers\Nhostnt3.sys (Danware Data A/S)
DRV - (sfsync04) -- C:\WINDOWS\system32\drivers\sfsync04.sys (Protection Technology (StarForce))
DRV - (sfdrv01a) -- C:\WINDOWS\system32\drivers\sfdrv01a.sys (Protection Technology (StarForce))
DRV - (sfvfs02) -- C:\WINDOWS\system32\drivers\sfvfs02.sys (Protection Technology (StarForce))
DRV - (sfhlp02) -- C:\WINDOWS\system32\drivers\sfhlp02.sys (Protection Technology (StarForce))
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1482476501-1004336348-682003330-1012\..\SearchScopes,DefaultScope = 
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0033-ABCDEFFEDCBA%7D:6.0.33
FF - prefs.js..extensions.enabledAddons: %7Bb9db16a4-6edc-47ec-a1f4-b86292ed211d%7D:4.9.13
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@datev.de/DATEV_BestellManager,version=1.7: C:\DATEV\PROGRAMM\A0000015\npdvbm.dll ( DATEV eG)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.3: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\forsch5user\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.12.17 09:45:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.07 15:36:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.01.15 16:33:46 | 000,000,000 | ---D | M]
 
[2011.04.20 07:14:37 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\forsch5user\Application Data\Mozilla\Extensions
[2013.01.15 17:44:18 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\forsch5user\Application Data\Mozilla\Firefox\Profiles\7p87vvmf.default\extensions
[2013.01.15 17:44:18 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Documents and Settings\forsch5user\Application Data\Mozilla\Firefox\Profiles\7p87vvmf.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.11.23 16:02:42 | 000,804,627 | ---- | M] () (No name found) -- C:\Documents and Settings\forsch5user\Application Data\Mozilla\Firefox\Profiles\7p87vvmf.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013.01.15 13:55:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2012.12.07 15:36:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2012.12.07 15:36:48 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.08.25 03:49:52 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.25 03:49:52 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.08.25 03:49:52 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.08.25 03:49:52 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.08.25 03:49:52 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.08.25 03:49:52 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2013.01.17 09:05:13 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DATEV Update-Monitor] C:\Datev\PROGRAMM\Install\DvInesASDMon.exe (DATEV eG)
O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe ()
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Basisschnittstelle Office Initialisierung.lnk = C:\Datev\PROGRAMM\BSOffice\service\OfficeDiag.exe (DATEV eG)
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\CleanupPrintJobs.lnk = C:\Datev\PROGRAMM\B0001401\CleanupPrintJobs.exe (TODO: <Firmenname>)
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\DATEV-Hinweis Mitteilungsdienst.lnk = C:\Datev\PROGRAMM\A0000007\DHNC.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\DFÜ-Manager.lnk = C:\Datev\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe (DATEV eG)
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office Outlook 2003.lnk =  File not found
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\RZ-Druckertreiber V.2.3.lnk = C:\Datev\SYSTEM\RzpjWtch.exe (DATEV eG)
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\SkyUserDevmode-Update.lnk = C:\Datev\PROGRAMM\B0001401\UpdateDevmode.exe (DATEV eG)
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ZyXEL Dual Band Wireless N USB Adapter Utility.lnk = C:\Program Files\ZyXEL\NWD-211AN\NWD-211AN.exe (ZyXEL Communications Corp.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1012\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1482476501-1004336348-682003330-1012\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O12 - Plugin for: .IPC - C:\Program Files\Internet Explorer\Plugins\npideapl.dll (LINK & LINK Software)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1342075579281 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{919BFD34-0D44-4C1C-8474-AADB784F84EF}: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop WallPaper: C:\Documents and Settings\forsch5user\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Documents and Settings\forsch5user\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.08.06 12:36:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.18 15:42:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\forsch5user\Desktop\OTL.exe
[2013.01.17 08:57:53 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.01.17 08:54:48 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.01.17 08:54:48 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.01.17 08:54:48 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.01.17 08:54:48 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.01.17 08:54:39 | 000,000,000 | ---D | C] -- C:\ComboFix
[2013.01.17 08:54:35 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.01.17 08:54:32 | 000,000,000 | R--D | C] -- C:\Documents and Settings\forsch5user\Start Menu\Programs\Administrative Tools
[2013.01.17 08:54:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.01.17 08:36:28 | 005,022,302 | R--- | C] (Swearware) -- C:\Documents and Settings\forsch5user\Desktop\ComboFix.exe
[2013.01.16 15:24:20 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Documents and Settings\forsch5user\Desktop\tdsskiller.exe
[2013.01.16 13:17:01 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Documents and Settings\forsch5user\Desktop\aswMBR.exe
[2013.01.15 19:11:18 | 002,237,440 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe
[2013.01.15 19:11:17 | 000,000,000 | ---D | C] -- C:\_OTL
[2013.01.15 16:39:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[2013.01.10 16:20:10 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2013.01.09 20:26:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\forsch5user\Desktop\mbar
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[19 L:\Eigene Dateien\*.tmp files -> L:\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.18 15:48:19 | 000,001,108 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.18 15:42:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\forsch5user\Desktop\OTL.exe
[2013.01.18 15:37:30 | 000,000,433 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics
[2013.01.18 15:36:59 | 000,001,104 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.18 15:36:48 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System32\PSLOG
[2013.01.18 15:36:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.18 15:34:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.01.18 15:32:54 | 000,001,585 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2013.01.18 08:19:26 | 000,574,677 | ---- | M] () -- C:\Documents and Settings\forsch5user\Desktop\adwcleaner.exe
[2013.01.17 09:05:13 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.01.17 08:57:56 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.01.17 08:36:40 | 005,022,302 | R--- | M] (Swearware) -- C:\Documents and Settings\forsch5user\Desktop\ComboFix.exe
[2013.01.16 15:27:14 | 000,005,702 | ---- | M] () -- C:\Documents and Settings\forsch5user\Local Settings\Application Data\EmptySettings.xml
[2013.01.16 15:24:28 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Documents and Settings\forsch5user\Desktop\tdsskiller.exe
[2013.01.16 15:15:51 | 000,000,512 | ---- | M] () -- C:\Documents and Settings\forsch5user\Desktop\MBR.dat
[2013.01.16 13:17:59 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Documents and Settings\forsch5user\Desktop\aswMBR.exe
[2013.01.16 11:36:14 | 000,002,543 | ---- | M] () -- C:\Documents and Settings\forsch5user\Application Data\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Word 2003 (2).lnk
[2013.01.15 17:34:56 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.01.15 17:34:56 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.01.15 13:17:39 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.13 12:19:15 | 000,002,635 | ---- | M] () -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office Outlook 2003.lnk
[2013.01.10 08:17:52 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\forsch5user\Application Data\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Outlook starten.lnk
[2013.01.09 16:53:44 | 000,505,894 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.09 16:53:44 | 000,089,358 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.09 16:43:59 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.01.06 06:34:35 | 006,009,856 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[2012.12.21 08:54:20 | 000,141,240 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[19 L:\Eigene Dateien\*.tmp files -> L:\Eigene Dateien\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.18 08:19:26 | 000,574,677 | ---- | C] () -- C:\Documents and Settings\forsch5user\Desktop\adwcleaner.exe
[2013.01.17 08:57:56 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.01.17 08:57:54 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.01.17 08:54:48 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.01.17 08:54:48 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.01.17 08:54:48 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.01.17 08:54:48 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.01.17 08:54:48 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.01.16 15:15:51 | 000,000,512 | ---- | C] () -- C:\Documents and Settings\forsch5user\Desktop\MBR.dat
[2012.10.27 12:26:04 | 000,000,227 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\Microsoft.SqlServer.Compact.351.32.bc
[2012.02.15 12:53:09 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.10.25 15:31:06 | 000,413,482 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\WPFFontCache_v0400-S-1-5-21-1482476501-1004336348-682003330-1003-0.dat
[2011.10.25 15:31:06 | 000,138,010 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\WPFFontCache_v0400-System.dat
[2011.10.25 09:57:51 | 000,005,702 | ---- | C] () -- C:\Documents and Settings\forsch5user\Local Settings\Application Data\EmptySettings.xml
[2011.10.10 08:20:39 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.10.08 08:31:32 | 002,128,778 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2011.09.14 10:47:40 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2011.07.26 16:26:46 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\cis-2.4.dll
[2011.07.26 16:26:46 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\issacapi_bs-2.3.dll
[2011.07.26 16:26:46 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\issacapi_pe-2.3.dll
[2011.07.26 16:26:46 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\issacapi_se-2.3.dll
[2010.02.10 12:23:35 | 000,000,093 | ---- | C] () -- C:\Documents and Settings\forsch5user\Application Data\BEVI.CFG
[2009.07.24 07:14:21 | 000,037,376 | ---- | C] () -- C:\Documents and Settings\forsch5user\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.08.06 16:42:25 | 000,000,134 | ---- | C] () -- C:\Documents and Settings\forsch5user\Local Settings\Application Data\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2007.08.06 16:33:59 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2010.03.10 05:33:41 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 13:10:48 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 01:12:08 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.01.12 13:37:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Age of Empires 3
[2010.02.05 14:13:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\BioWare
[2012.10.27 12:19:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\DATEV
[2010.10.29 13:28:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\PCTV Systems
[2012.11.22 08:52:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Samsung
[2007.08.06 16:39:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SkyCom
[2013.01.11 14:23:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Forsch2user\Application Data\DATEV
[2010.05.11 09:07:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\Command and Conquer 4
[2011.10.25 10:01:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\DATEV
[2011.10.25 15:22:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\DMS
[2012.10.27 13:29:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\DVASSV
[2011.01.06 12:55:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\ImgBurn
[2010.01.04 14:25:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\Meine Die Schlacht um Mittelerde-Dateien
[2011.09.20 15:22:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\Samsung
[2012.02.29 15:37:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\forsch5user\Application Data\Unity
 
========== Purity Check ==========
 
 

< End of report >

Extras.txt

Code:

ATTFilter

OTL Extras logfile created on: 18.01.2013 15:44:59 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Documents and Settings\forsch5user\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,61 Gb Available Physical Memory | 80,45% Memory free
5,09 Gb Paging File | 4,49 Gb Available in Paging File | 88,24% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 347,58 Gb Total Space | 320,42 Gb Free Space | 92,19% Space Free | Partition Type: NTFS
Drive D: | 20,51 Gb Total Space | 13,59 Gb Free Space | 66,27% Space Free | Partition Type: FAT32
Drive H: | 97,66 Gb Total Space | 97,57 Gb Free Space | 99,91% Space Free | Partition Type: NTFS
Drive L: | 922,47 Gb Total Space | 899,90 Gb Free Space | 97,55% Space Free | Partition Type: NTFS
 
Computer Name: FORSCH5 | User Name: forsch5user | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"13364:UDP" = 13364:UDP:*:Enabled:Print Server Utility
"13107:UDP" = 13107:UDP:*:Enabled:Print Server Utility
"69:UDP" = 69:UDP:*:Enabled:Print Server Utility
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"13364:UDP" = 13364:UDP:*:Enabled:Print Server Utility
"13107:UDP" = 13107:UDP:*:Enabled:Print Server Utility
"69:UDP" = 69:UDP:*:Enabled:Print Server Utility
"1947:TCP" = 1947:TCP:*:Enabled:HASP SRM 
"1947:UDP" = 1947:UDP:*:Enabled:HASP SRM 
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\DATEV\PROGRAMM\A0000008\Nhstw32.exe" = C:\DATEV\PROGRAMM\A0000008\nhstw32.exe:*:Enabled:nhstw32.exe -- (Danware Data A/S)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe:*:Enabled:DcManag.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe:*:Enabled:DfueMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe" = C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe:*:Enabled:ccsrv2.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\callauferst.exe" = C:\DATEV\PROGRAMM\RZKOMM\callauferst.exe:*:Enabled:callauferst.exe
"C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe" = C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe:*:Enabled:DfueSammlerDienst.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\funktest.exe" = C:\DATEV\PROGRAMM\RZKOMM\funktest.exe:*:Enabled:funktest.exe
"C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe" = C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe:*:Enabled:funkt_fv.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\empftest.exe" = C:\DATEV\PROGRAMM\RZKOMM\empftest.exe:*:Enabled:empftest.exe
"C:\DATEV\PROGRAMM\SWS\Limaservice.exe" = C:\DATEV\PROGRAMM\SWS\LimaService.exe:*:Enabled:LimaService.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEISDN\SECCLT\secclt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SecClt\SecClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SecClt.exe
"C:\DATEV\PROGRAMM\DFUEISDN\SSLCLT\sslclt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SSLClt.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe" = C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:mntbna.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe" = C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe:*:Enabled:DATEVAddMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\EOBASIS\EO2.exe" = C:\DATEV\PROGRAMM\EOBASIS\EO2.exe:*:Enabled:EO2.exe -- (DATEV eG)
"C:\Datev\PROGRAMM\Install\ExecDll\ExecDllExe.exe" = C:\Datev\PROGRAMM\Install\ExecDll\ExecDllExe.exe:*:Enabled:ExecDllExe.exe -- (DATEV eG)
"C:\Datev\PROGRAMM\Install\Uninstal.exe" = C:\Datev\PROGRAMM\Install\Uninstal.exe:*:Enabled:Uninstal.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\NUMZUS\NumZus.exe" = C:\DATEV\PROGRAMM\NUMZUS\NumZus.exe:*:Enabled:NumZus.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\MITARBEI\Mitarbei.exe" = C:\DATEV\PROGRAMM\MITARBEI\Mitarbei.exe:*:Enabled:Mitarbei.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\MANDANT\Mandant.exe" = C:\DATEV\PROGRAMM\MANDANT\Mandant.exe:*:Enabled:Mandant.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\R0000135\EOR.EXE" = C:\DATEV\PROGRAMM\R0000135\EOR:*:Enabled:EOR.exe -- (DATEV e.G.)
"C:\DATEV\PROGRAMM\SWS\LimaServer.exe" = C:\DATEV\PROGRAMM\SWS\LimaServer.exe:*:Enabled:LimaServer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaAdmin.exe" = C:\DATEV\PROGRAMM\SWS\LimaAdmin.exe:*:Enabled:LimaAdmin.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaPing.exe" = C:\DATEV\PROGRAMM\SWS\LimaPing.exe:*:Enabled:LimaPing.exe -- ()
"C:\DATEV\PROGRAMM\SWS\StartCIOProfile.exe" = C:\DATEV\PROGRAMM\SWS\StartCIOProfile.exe:*:Enabled:StartCIOProfile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\MasterSWM_Viewer.exe" = C:\DATEV\PROGRAMM\SWS\MasterSWM_Viewer.exe:*:Enabled:MasterSWM_Viewer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaLicFile.exe" = C:\DATEV\PROGRAMM\SWS\LimaLicFile.exe:*:Enabled:LimaLicFile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\StartCIO.exe" = C:\DATEV\PROGRAMM\SWS\StartCIO.exe:*:Enabled:StartCIO.exe -- ()
"C:\DATEV\PROGRAMM\SWS\TestTCP.exe" = C:\DATEV\PROGRAMM\SWS\TestTCP.exe:*:Enabled:TestTCP.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaStatus.exe" = C:\DATEV\PROGRAMM\SWS\LimaStatus.exe:*:Enabled:LimaStatus.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe" = C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe:*:Enabled:Arbeitsplatz.exe -- (DATEV eG)
"C:\DATEV\SYSTEM\DvpExe.exe" = C:\DATEV\SYSTEM\DvpExe.exe:*:Enabled:DvpExe.exe -- (DATEV eG)
"C:\DATEV\SYSTEM\DcomSrv.exe" = C:\DATEV\SYSTEM\DcomSrv.exe:*:Enabled:DcomSrv.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RWApplic\Datev.Irw.Managed.ServiceProvider.exe" = C:\DATEV\PROGRAMM\RWAPPLIC\Datev.Irw.Managed.ServiceProvider.exe:*:Enabled:DATEV IRW ServiceProvider -- (DATEV eG)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\DATEV\PROGRAMM\A0000008\Nhstw32.exe" = C:\DATEV\PROGRAMM\A0000008\Nhstw32.exe:*:Enabled:Nhstw32.exe -- (Danware Data A/S)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe:*:Enabled:DcManag.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe:*:Enabled:DfueMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe" = C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe:*:Enabled:ccsrv2.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe" = C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe:*:Enabled:DfueSammlerDienst.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe" = C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe:*:Enabled:funkt_fv.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\Limaservice.exe" = C:\DATEV\PROGRAMM\SWS\LimaService.exe:*:Enabled:LimaService.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEISDN\SSLCLT\sslclt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SSLClt.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe" = C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:mntbna.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe" = C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe:*:Enabled:DATEVAddMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\EOBASIS\EO2.exe" = C:\DATEV\PROGRAMM\EOBASIS\EO2.exe:*:Enabled:EO2.exe -- (DATEV eG)
"C:\Datev\PROGRAMM\Install\ExecDll\ExecDllExe.exe" = C:\Datev\PROGRAMM\Install\ExecDll\ExecDllExe.exe:*:Enabled:ExecDllExe.exe -- (DATEV eG)
"C:\Datev\PROGRAMM\Install\Uninstal.exe" = C:\Datev\PROGRAMM\Install\Uninstal.exe:*:Enabled:Uninstal.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\NUMZUS\NumZus.exe" = C:\DATEV\PROGRAMM\NUMZUS\NumZus.exe:*:Enabled:NumZus.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\MITARBEI\Mitarbei.exe" = C:\DATEV\PROGRAMM\MITARBEI\Mitarbei.exe:*:Enabled:Mitarbei.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\MANDANT\Mandant.exe" = C:\DATEV\PROGRAMM\MANDANT\Mandant.exe:*:Enabled:Mandant.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\R0000135\EOR.EXE" = C:\DATEV\PROGRAMM\R0000135\EOR:*:Enabled:EOR.exe -- (DATEV e.G.)
"C:\DATEV\PROGRAMM\SWS\LimaServer.exe" = C:\DATEV\PROGRAMM\SWS\LimaServer.exe:*:Enabled:LimaServer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaAdmin.exe" = C:\DATEV\PROGRAMM\SWS\LimaAdmin.exe:*:Enabled:LimaAdmin.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaPing.exe" = C:\DATEV\PROGRAMM\SWS\LimaPing.exe:*:Enabled:LimaPing.exe -- ()
"C:\DATEV\PROGRAMM\SWS\StartCIOProfile.exe" = C:\DATEV\PROGRAMM\SWS\StartCIOProfile.exe:*:Enabled:StartCIOProfile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\MasterSWM_Viewer.exe" = C:\DATEV\PROGRAMM\SWS\MasterSWM_Viewer.exe:*:Enabled:MasterSWM_Viewer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaLicFile.exe" = C:\DATEV\PROGRAMM\SWS\LimaLicFile.exe:*:Enabled:LimaLicFile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\StartCIO.exe" = C:\DATEV\PROGRAMM\SWS\StartCIO.exe:*:Enabled:StartCIO.exe -- ()
"C:\DATEV\PROGRAMM\SWS\TestTCP.exe" = C:\DATEV\PROGRAMM\SWS\TestTCP.exe:*:Enabled:TestTCP.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaStatus.exe" = C:\DATEV\PROGRAMM\SWS\LimaStatus.exe:*:Enabled:LimaStatus.exe -- (DATEV eG)
"C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe" = C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe:*:Enabled:Arbeitsplatz.exe -- (DATEV eG)
"C:\DATEV\SYSTEM\DvpExe.exe" = C:\DATEV\SYSTEM\DvpExe.exe:*:Enabled:DvpExe.exe -- (DATEV eG)
"C:\DATEV\SYSTEM\DcomSrv.exe" = C:\DATEV\SYSTEM\DcomSrv.exe:*:Enabled:DcomSrv.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RWApplic\Datev.Irw.Managed.ServiceProvider.exe" = C:\DATEV\PROGRAMM\RWAPPLIC\Datev.Irw.Managed.ServiceProvider.exe:*:Enabled:DATEV IRW ServiceProvider -- (DATEV eG)
"C:\WINDOWS\system32\hasplms.exe" = C:\WINDOWS\system32\hasplms.exe:*:Enabled:Sentinel License Manager -- (SafeNet Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0881ECE5-DCA1-462D-B515-F1732875EC74}" = DATEV Infragistics Runtime V.3.2
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{140B5BC3-E263-397D-B1BB-C4095364FB6F}" = Catalyst Control Center InstallProxy
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{19A492A0-888F-44A0-9B21-D91700763F62}" = Catalyst Control Center - Branding
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{317587A3-A8A0-4EEE-8C02-62595A879E7B}" = Microsoft SQL Server 2005-Abwärtskompatibilität
"{31D72A9B-F7A1-4FE9-A9BC-45D2BE2610D4}" = SQLXML4
"{341C4CB5-8BD1-48D9-BE09-9F511FCF9235}" = DFL2010 ConfigDB
"{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3686B63F-72CD-C0FB-1348-34DB78ADFC9C}" = CCC Help English
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{5808C9C0-C38B-4091-BCC3-9D401C594A88}" = DFL2010 Microkernel
"{58288FBC-C7E8-FE33-3009-199C219D3363}" = Catalyst Control Center Graphics Previews Common
"{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411
"{6A69D94E-C569-4154-9643-72E94D1DDFDA}" = XPS Essentials Pack
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{735DEB9C-61BD-4D31-994B-92395BBB4E45}" = Microsoft XML Parser
"{7F26BC94-9AAA-4FD2-A38A-F13B3ECA3426}" = Crystal Reports Runtime XI
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{901C0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Access 2002 Runtime
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{909B62B0-8ACA-4061-A83B-09CAEF609619}" = MSXML 6.0 Parser
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{91490409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Primary Interop Assemblies
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A25FF1C0-80B6-4B8B-A551-DC525697A408}" = AMD APP SDK Runtime
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch
"{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Control Panel 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Graphics Driver 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.94
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX System Software 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5CBEBFF-3DB4-4271-A706-757BBE3BD5AE}" = KOBIL CCID driver x64x86
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D0EC7B14-C363-8FCF-728E-A94144B31518}" = AMD Catalyst Install Manager
"{E6D45395-C8CE-40D8-BF3A-F0CDA6F1049A}" = ZyXEL Dual Band Wireless N USB Adapter Utility
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E7A679C2-2A9C-4008-9CF9-178A6C13D923}" = Dialogseminar online V.3.02
"{EFF5ECCC-20B9-68CE-A95A-A1500E4E0FF8}" = ccc-utility
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F46E21DF-5BE1-48E2-8390-5EEA8B25E36A}" = Microsoft SQL Server Native Client
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F8AEA743-A9CB-453C-9B3C-53D7F1D0CC22}" = B1315AppGuid
"{FA798C4A-FE41-AE67-932F-F00CDAAA7723}" = Catalyst Control Center
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"DATEVB00000482.0" = DATEV Installation V.3.0
"DATEVB00000501.0" = DATEV Auskunftssystem Laufzeitkomponente V.1.2
"DATEVB00000671.2" = DATEV Basiskomponenten V.1.2
"DATEVK00000151.0" = DATEV Basisschnittstelle für Word V.1.53
"Digital Editions" = Adobe Digital Editions
"DivX Setup" = DivX-Setup
"FreshDevices - FreshDiagnose_is1" = FreshDiagnose
"ie8" = Windows Internet Explorer 8
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"PrintServer Network driver" = PrintServer Network driver
"PROSet" = Intel(R) PRO Network Connections Drivers
"VLC media player" = VLC media player 2.0.3
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEP" = XPS Essentials Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1482476501-1004336348-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"UnityWebPlayer" = Unity Web Player
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2013 03:28:58 | Computer Name = FORSCH5 | Source = Datev.Framework.RemoteServices | ID = 0
Description = 10.01.2013 08:28:58 11 Error Datev.Framework.RemoteServices.Logging
  LogService reports that writing log entries is impossible because the data access
 layer for log purpose 'DetailAnalysis' is unavailable.
 
Error - 10.01.2013 03:28:58 | Computer Name = FORSCH5 | Source = Datev.Framework.RemoteServices | ID = 0
Description = 10.01.2013 08:28:58 11 Error Datev.Framework.RemoteServices.Logging
  LogService reports that writing log entries is impossible because the data access
 layer for log purpose 'DetailAnalysis' is unavailable.  - The identical message was
 traced 5 times since 10.01.2013 8:28:58. Further identical message will be suppressed
 until 10.01.2013 9:28:58
 
Error - 10.01.2013 03:28:58 | Computer Name = FORSCH5 | Source = Datev.Framework.RemoteServiceModel.EnablerService | ID = 0
Description = 10.01.2013 08:28:58 13 Error Datev.Framework.RemoteServiceModel  System.ArgumentException:
 Async End called on wrong channel.  Parameter name: result     at System.ServiceModel.Channels.ServiceChannel.EndCall(String
 action, Object[] outs, IAsyncResult result)     at System.ServiceModel.Channels.ServiceChannelProxy.InvokeEndService(IMethodCallMessage
 methodCall, ProxyOperationRuntime operation)     at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage
 message)
 
Error - 10.01.2013 03:28:58 | Computer Name = FORSCH5 | Source = Datev.Framework.RemoteServiceModel.EnablerService | ID = 0
Description = 10.01.2013 08:28:58 13 Error Datev.Framework.RemoteServiceModel  Datev.Framework.RemoteServiceModel.RemoteServiceCommunicationException:
 Es ist ein lokales Verbindungsproblem auf der Maschine FORSCH5 aufgetreten. (Fault
 Detail is equal to Datev.Framework.RemoteServiceModel.RemoteServiceExceptionDetail).
ReasonId:
 0
 
Error - 09.01.2013 04:35:21 | Computer Name = FORSCH5 | Source = Application Hang | ID = 1002
Description = Hanging application Datev.Sdd.Ui.EditHost.StartupService.exe, version
 1.2012.822.0, hang module hungapp, version 0.0.0.0, hang address 0x00000000.
 
Error - 09.01.2013 04:38:14 | Computer Name = FORSCH5 | Source = Application Hang | ID = 1002
Description = Hanging application Datev.Sdd.Ui.EditHost.StartupService.exe, version
 1.2012.822.0, hang module hungapp, version 0.0.0.0, hang address 0x00000000.
 
Error - 09.01.2013 04:38:45 | Computer Name = FORSCH5 | Source = Application Hang | ID = 1002
Description = Hanging application Arbeitsplatz.exe, version 1.0.4.1, hang module
 hungapp, version 0.0.0.0, hang address 0x00000000.
 
Error - 10.01.2013 03:18:40 | Computer Name = FORSCH5 | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Tried to start a service that wasn't the latest version of CLR Optimization service.
 Will shutdown 
 
Error - 16.01.2013 09:48:18 | Computer Name = FORSCH5 | Source = Application Error | ID = 1000
Description = Faulting application aswmbr.exe, version 0.9.9.1707, faulting module
 aswmbr.exe, version 0.9.9.1707, fault address 0x00005b76.
 
Error - 17.01.2013 09:59:35 | Computer Name = FORSCH5 | Source = Application Hang | ID = 1002
Description = Hanging application WINWORD.EXE, version 11.0.8350.0, hang module 
hungapp, version 0.0.0.0, hang address 0x00000000.
 
[ System Events ]
Error - 13.01.2013 06:35:28 | Computer Name = FORSCH5 | Source = DCOM | ID = 10010
Description = The server {8BC3F05E-D86B-11D0-A075-00C04FB68820} did not register
 with DCOM within the required timeout.
 
Error - 15.01.2013 08:19:21 | Computer Name = FORSCH5 | Source = Windows Update Agent | ID = 16
Description = Unable to Connect: Windows is unable to connect to the automatic updates
 service and therefore cannot download and install updates according to the set 
schedule. Windows will continue to try to establish a connection.
 
Error - 16.01.2013 05:11:40 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452689
Description = Time Provider NtpClient: An error occurred during DNS lookup of the
 manually  configured peer 'time.windows.com,0x1'. NtpClient will try the DNS lookup
 again in 15  minutes.  The error was: A socket operation was attempted to an unreachable
 host. (0x80072751)
 
Error - 16.01.2013 05:11:40 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452701
Description = The time provider NtpClient is configured to acquire time from one
 or more  time sources, however none of the sources are currently accessible.   No attempt
 to contact a source will be made for 14 minutes.  NtpClient has no source of accurate
 time. 
 
Error - 16.01.2013 05:26:40 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452689
Description = Time Provider NtpClient: An error occurred during DNS lookup of the
 manually  configured peer 'time.windows.com,0x1'. NtpClient will try the DNS lookup
 again in 30  minutes.  The error was: A socket operation was attempted to an unreachable
 host. (0x80072751)
 
Error - 16.01.2013 05:26:40 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452701
Description = The time provider NtpClient is configured to acquire time from one
 or more  time sources, however none of the sources are currently accessible.   No attempt
 to contact a source will be made for 30 minutes.  NtpClient has no source of accurate
 time. 
 
Error - 16.01.2013 05:56:40 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452689
Description = Time Provider NtpClient: An error occurred during DNS lookup of the
 manually  configured peer 'time.windows.com,0x1'. NtpClient will try the DNS lookup
 again in 60  minutes.  The error was: A socket operation was attempted to an unreachable
 host. (0x80072751)
 
Error - 16.01.2013 05:56:40 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452701
Description = The time provider NtpClient is configured to acquire time from one
 or more  time sources, however none of the sources are currently accessible.   No attempt
 to contact a source will be made for 60 minutes.  NtpClient has no source of accurate
 time. 
 
Error - 16.01.2013 06:45:46 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452689
Description = Time Provider NtpClient: An error occurred during DNS lookup of the
 manually  configured peer 'time.windows.com,0x1'. NtpClient will try the DNS lookup
 again in 15  minutes.  The error was: A socket operation was attempted to an unreachable
 host. (0x80072751)
 
Error - 16.01.2013 06:45:46 | Computer Name = FORSCH5 | Source = W32Time | ID = 39452701
Description = The time provider NtpClient is configured to acquire time from one
 or more  time sources, however none of the sources are currently accessible.   No attempt
 to contact a source will be made for 15 minutes.  NtpClient has no source of accurate
 time. 
 
 
< End of report >

thdy · 18.01.2013, 16:09

Ok?

cosinus · 20.01.2013, 18:55

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

thdy · 21.01.2013, 21:01

Quickscann Malwarebytes Log

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.21.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
forsch5user :: FORSCH5 [Administrator]

21.01.2013 20:53:03
mbam-log-2013-01-21 (20-53-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 254509
Laufzeit: 5 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus · 22.01.2013, 10:02

Was ist mit ESET?

thdy · 23.01.2013, 08:26

Habe ESET durchlaufen lassen. Hatte nur einen Fund in den OTL\Movedfiles.

Sorry aber hab die Logfile leider nicht gefunden, da ich das Fenster das nach dem Scan erschienen ist weggeklickt habe. Mache gleich nochmal nen Scan...wenn das nur nicht so lange dauern würde...

ESET Log

Code:

ATTFilter

C:\_OTL\MovedFiles\01152013_131117\C_Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js	Win32/Reveton.N trojan

Code:

ATTFilter

C:\_OTL\MovedFiles\01152013_131117\C_Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js	Win32/Reveton.N trojan
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=fdc69a4e7eedf44fad0352bc11a84708
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-23 08:52:00
# local_time=2013-01-23 09:52:00 (+0100, W. Europe Standard Time)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1799 16775165 100 100 92905 224354410 85681 0
# scanned=159254
# found=1
# cleaned=0
# scan_time=4864
C:\_OTL\MovedFiles\01152013_131117\C_Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js	Win32/Reveton.N trojan	244D4E9464284927227EE8A084A303D652271C2E	I

cosinus · 23.01.2013, 13:31

Sieht soweit ok aus, der ESET-Fund bezieht sich nur auf die Q von OTL

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

22.01.2013, 10:02	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	GVU Trojaner eingefangen, WinXP, abgesicherter Modus geht nicht, Kaspersky Rescue auch nicht Was ist mit ESET? __________________ Logfiles bitte immer in CODE-Tags posten

GVU Trojaner eingefangen, WinXP, abgesicherter Modus geht nicht, Kaspersky Rescue auch nicht

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner eingefangen, WinXP, abgesicherter Modus geht nicht, Kaspersky Rescue auch nicht